Google випустила оновлення безпеки Android за травень 2025, яке виправляє 46 недоліків, у тому числі CVE-2025-27363 – серйозну помилку з рейтингом 8.1, якою зловмисники користуються без жодної взаємодії з користувачем.
Вразливість CVE-2025-27363 впливає на компонент System Android та дозволяє локальне виконання довільного коду без додаткових привілеїв. Проблема полягає у бібліотеці FreeType, що відповідає за візуалізацію шрифтів. Facebook повідомила про використання цієї вразливості ще в березні 2025 року.
Помилка класифікується як запис поза межами буфера (out-of-bounds write) і пов’язана з обробкою TrueType GX та змінних шрифтів. Її усунуто у FreeType, починаючи з версії 2.13.1. Google зазначає, що експлуатація має обмежений та цілеспрямований характер, хоча конкретні випадки атак не розкриваються.
Крім цього, оновлення ліквідує ще 8 проблем у System та 15 — у Framework, серед яких підвищення привілеїв, витік інформації та DoS-атаки.
Це не перший випадок використання проблем у FreeType для атак на Android. Незважаючи на нові механізми захисту, що поступово впроваджуються у нових версіях ОС, Google регулярно фіксує спроби цілеспрямованих атак, які частково обходять захист.
Попередні подібні вразливості, як-от Stagefright або Zero-day у Binder, вже використовувались для масштабних шпигунських кампаній. Користувачам слід негайно оновити свої пристрої, щоб уникнути потенційного захоплення контролю над системою. Особливо це стосується тих, хто працює з конфіденційною інформацією або перебуває у зоні ризику через геополітичні або корпоративні чинники.
192 
138 
127 