Поделиться
Исправлено полсотни «багов» в Android, в том числе те, которые уже эксплуатировались хакерами
Унаследованная от опенсорсного парсера шрифтов уязвимость угрожала запуском произвольного кода в Android. Проблема получила «высокоопасный» статус, как и практически все остальные уязвимости, перечисленные в майском бюллетене Google.
Наследство
Google выкатил очередной кумулятивный патч для Android, устранив в общей сложности 46 уязвимостей. Наибольший интерес - или риск - представляла собой уязвимость CVE-2025-27363, которой уже успели воспользоваться киберзлоумышленники.
Сама по себе уязвимость получила оценку в 8,1 балла по шкале угроз CVSS, что соответствует высокоопасному уровню.
«Наиболее серьезную проблему составляет высокоопасная уязвимость в компоненте System, обеспечивающая возможность локального запуска произвольного кода без необходимости получать какие-либо дополнительные привилегии, - указывается в бюллетене Google. - Необходимости взаимодействовать с пользователем [уязвимого устройства] не возникает».
Источником уязвимости оказалась опенсорсная библиотека рендеринга шрифтов FreeType. При считывании файлов формата TrueType GX и переменных шрифтов возникает возможность записи данных за пределами выделенной области памяти (out-of-bounds write), что открывает возможность для запуска произвольного кода.
«Очевидно, что речь идет об «унаследованной» уязвимости, неопределенное время присутствовавшей в опенсорсном компоненте, сфера использования которого простирается далеко за пределы Android», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «В связи с этим возникает вопрос, как долго на самом деле ее могли эксплуатировать до того момента, как ее выявили специалисты по киберзащите».
Мартовская уязвимость
Проблема затрагивает все версии FreeType до индекса 2.13.0 включительно. Ее обнаружили эксперты компании Meta* еще в марте 2025 г. Уже тогда стало известно, что ее пытаются эксплуатировать.
В бюллетене Google упоминается, что эксплуатация этой уязвимости носит «ограниченный, выборочный характер», что, вероятнее всего, означает использование ее в целях слежки и шпионажа.
Обращает на себя внимание то, что буквально все уязвимости, перечисленные в бюллетене Google обозначены как высокоопасные (high severity).
Некоторые позволяют повышать привилегии в системе, выводить информацию или выводить систему из строя.
При этом в компании утверждают, что эксплуатация «многих проблем» затруднена нововведениями в последних версиях Android, нацеленными на обеспечение безопасности.
«Призываем всех пользователей Android обновиться до последней версии, если есть такая возможность», - пишут авторы бюллетеня.
К сожалению, еще не все конечные производители смартфонов под Android опубликовали свои обновления. Популярные в России трубки Xiaomi под управлением дериватива Android HyperOS апдейтов еще не получали.
*Meta (компания признана экстремистской организацией на территории России).
Короткая ссылка
