Хакер #311. Сетевые протоколы под микроскопом
Компания Google выпустила ежемесячные обновления для Android, которые устранили 46 уязвимостей. Одна из этих проблем уже используется злоумышленниками и связана с выполнением произвольного кода в библиотеке FreeType.
Находящаяся под атаками уязвимость получила идентификатор CVE-2025-27363 (8,1 балла по шкале CVSS) и представляет собой проблему в компоненте System, которая может привести к локальному выполнению кода, не требуя при этом дополнительных привилегий. Взаимодействие с пользователем для эксплуатации бага тоже не требуется.
Корень проблемы CVE-2025-27363 лежит в опенсорсной библиотеке рендеринга шрифтов FreeType, и впервые об этом баге стало известно в марте 2025 года. Тогда специалисты объясняли, что уязвимость представляет опасность для всех версий FreeType вплоть до 2.13, и уже использовалась в атаках.
«Во FreeType версий ниже 2.13.0 обнаружена проблема out-of-bounds записи при попытке парсинга подглифовых структур шрифтов, связанных с TrueType GX и переменными файлами шрифтов, — писали исследователи. — Уязвимый код присваивает знаковый короткий целый (signed short) беззнаковому длинному (unsigned long), а затем добавляет статическое значение, что приводит к переполнению и выделению слишком маленького буфера в хипе. Затем код записывает до шести знаковых длинных целых чисел (signed long), выходя за границы этого буфера. Это может привести к выполнению произвольного кода».
Как теперь сообщают в Google, уязвимость действительно могла подвергаться «ограниченной и целенаправленной эксплуатации». Пока в компании не раскрывают никаких подробностей об этих атаках.
Среди прочих уязвимостей, исправленных Google в этом месяце, значатся проблемы в компонентах Framework, System, Google Play и ядре Android, а также баги в безопасности проприетарных компонентах MediaTek, Qualcomm, Arm и Imagination Technologies. Большинство из них связаны с повышением привилегий.
