В рамках майского обновления безопасности 2025 года компания Google исправила 46 уязвимостей Android, среди которых особую тревогу вызвала критическая брешь CVE-2025-27363, активно эксплуатировавшаяся злоумышленниками. Эта уязвимость с высоким показателем опасности по шкале CVSS (8.1) затронула системный компонент операционной системы.
Особенность CVE-2025-27363 заключается в том, что для её эксплуатации не требовалось ни дополнительных привилегий выполнения, ни взаимодействия с пользователем. Корень проблемы находился в библиотеке рендеринга шрифтов FreeType с открытым исходным кодом. Первоначально уязвимость была обнаружена и раскрыта специалистами Ф⃰ в марте 2025 года.
Технический анализ показал, что уязвимость представляет собой ошибку записи за пределами буфера (out-of-bounds write), которая возникает при обработке шрифтов TrueType GX и вариативных шрифтов. Исправление было реализовано в версиях FreeType выше 2.13.0. Согласно данным Google, эксплуатация данной уязвимости носила «ограниченный и целенаправленный характер».
Основная опасность CVE-2025-27363 заключалась в возможности локального выполнения кода на устройстве без ведома пользователя. Это потенциально позволяло злоумышленникам получать доступ к данным на устройстве или устанавливать вредоносное программное обеспечение.
В майском обновлении безопасности Google также устранила 8 других уязвимостей в системном компоненте Android и 15 проблем в модуле Framework. Эти бреши потенциально могли использоваться для повышения привилегий, раскрытия конфиденциальной информации и организации атак типа «отказ в обслуживании».
Для защиты от CVE-2025-27363 и других устраненных уязвимостей Google настоятельно рекомендует всем пользователям Android обновить свои устройства до последней версии операционной системы. Компания также отмечает, что более новые версии платформы Android содержат усовершенствования, которые затрудняют эксплуатацию подобных уязвимостей.
Ситуация с CVE-2025-27363 подчеркивает важность регулярных обновлений безопасности и демонстрирует, как уязвимости в компонентах с открытым исходным кодом могут представлять серьезную угрозу для миллионов пользователей мобильных устройств по всему миру.
Изображение носит иллюстративный характер
Особенность CVE-2025-27363 заключается в том, что для её эксплуатации не требовалось ни дополнительных привилегий выполнения, ни взаимодействия с пользователем. Корень проблемы находился в библиотеке рендеринга шрифтов FreeType с открытым исходным кодом. Первоначально уязвимость была обнаружена и раскрыта специалистами Ф⃰ в марте 2025 года.
Технический анализ показал, что уязвимость представляет собой ошибку записи за пределами буфера (out-of-bounds write), которая возникает при обработке шрифтов TrueType GX и вариативных шрифтов. Исправление было реализовано в версиях FreeType выше 2.13.0. Согласно данным Google, эксплуатация данной уязвимости носила «ограниченный и целенаправленный характер».
Основная опасность CVE-2025-27363 заключалась в возможности локального выполнения кода на устройстве без ведома пользователя. Это потенциально позволяло злоумышленникам получать доступ к данным на устройстве или устанавливать вредоносное программное обеспечение.
В майском обновлении безопасности Google также устранила 8 других уязвимостей в системном компоненте Android и 15 проблем в модуле Framework. Эти бреши потенциально могли использоваться для повышения привилегий, раскрытия конфиденциальной информации и организации атак типа «отказ в обслуживании».
Для защиты от CVE-2025-27363 и других устраненных уязвимостей Google настоятельно рекомендует всем пользователям Android обновить свои устройства до последней версии операционной системы. Компания также отмечает, что более новые версии платформы Android содержат усовершенствования, которые затрудняют эксплуатацию подобных уязвимостей.
Ситуация с CVE-2025-27363 подчеркивает важность регулярных обновлений безопасности и демонстрирует, как уязвимости в компонентах с открытым исходным кодом могут представлять серьезную угрозу для миллионов пользователей мобильных устройств по всему миру.