Η Google κυκλοφόρησε τις ενημερώσεις ασφαλείας του Μαΐου 2025 για το Android με διορθώσεις για 45 ατέλειες ασφαλείας, συμπεριλαμβανομένης μιας ενεργού εκμεταλλευόμενου μηδενικού κλικ στο ευπάθεια εκτέλεσης κώδικα 2.
Το Freetype είναι μια δημοφιλής βιβλιοθήκη γραμματοσειράς ανοιχτού κώδικα που εμφανίζει και προσθέτει προγραμματικά κείμενο σε εικόνες.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-27363, είναι ένα σφάλμα υψηλής εκτέλεσης κώδικα που ανακαλύφθηκε από ερευνητές ασφαλείας στο Facebook τον Μάρτιο του 2025.
Αντιμετωπίζει όλες τις εκδόσεις Freetype μέχρι 2,13, που κυκλοφόρησε στις 9 Φεβρουαρίου 2023, και αντιμετωπίζει την ευπάθεια.
“Υπάρχουν ενδείξεις ότι το CVE-2025-27363 μπορεί να είναι κάτω από περιορισμένη, στοχοθετημένη εκμετάλλευση,” διαβάζει το Δελτίο.
Ούτε το Facebook ούτε η Google αποκάλυψαν λεπτομέρειες σχετικά με το πώς χρησιμοποιείται το ελάττωμα στις επιθέσεις. Ωστόσο, Η αποκάλυψη του Facebook Τον Μάρτιο εξηγεί ότι μπορεί να εκμεταλλευτεί όταν το Freetype αναλύει ένα κακόβουλο αρχείο Truetype GX ή μεταβλητές γραμματοσειρές, οδηγώντας σε εκτέλεση κώδικα.
“Μια γραφή εκτός ορίων υπάρχει στις εκδόσεις Freetype 2.13.0 και παρακάτω (οι νεότερες εκδόσεις του Freetype δεν είναι ευάλωτες) όταν προσπαθούν να αναλύσουν τις δομές υπογλυφικών γραμματοσειρών που σχετίζονται με τα αρχεία Truetype GX και μεταβλητών γραμματοσειρών”, αναφέρει η αποκάλυψη του Facebook.
“Ο ευάλωτος κώδικας αποδίδει μια υπογεγραμμένη σύντομη τιμή σε ένα μη υπογεγραμμένο μακρύ και στη συνέχεια προσθέτει μια στατική τιμή που την προκαλεί να τυλίξει γύρω και να διαθέσει πολύ μικρό από ένα buffer σωρού, ο κώδικας γράφει μέχρι 6 υπογεγραμμένους μακρούς ακέραιους από όρια σε σχέση με αυτό το buffer.
Τα υπόλοιπα ελαττώματα που καθορίζονται από την Google αυτό το μήνα αφορούν προβλήματα στο πλαίσιο, το σύστημα, το Google Play και τον Kernel Android, καθώς και τα κενά ασφαλείας σε ιδιόκτητα εξαρτήματα από τεχνολογίες MediaTek, Qualcomm, ARM και φαντασίας.
Όλα τα ελαττώματα στα βασικά συστατικά Android βαθμολογούνται με μεγάλη σοβαρότητα, με τα περισσότερα να είναι ανύψωση προνομίων προνομίων.
Το απελευθερωμένο καθορίζει την ανησυχία του Android εκδόσεις 13, 14 και 15, αν και δεν επηρεάζουν όλα τα τρωτά σημεία και τα τρία.
Το Android 12 έφτασε στο τέλος της υποστήριξης στις 31 Μαρτίου 2025, οπότε δεν λαμβάνει πλέον διορθώσεις ασφαλείας. Ωστόσο, (και παλαιότερες εκδόσεις) μπορεί να επηρεαστεί από μερικές από τις ευπάθειες που αναφέρονται στο τελευταίο δελτίο.
Η Google ενσωματώνει τακτικά κρίσιμες διορθώσεις για αυτές τις συσκευές μέσω του καναλιού ενημέρωσης του συστήματος Google Play, αν και συγκεκριμένες διορθώσεις για ενεργά εκμεταλλευόμενες ατέλειες δεν είναι εγγυημένες για παλαιότερες συσκευές.
Οι χρήστες Android σε εκδόσεις άνω των 13 συνιστώνται να εξετάσουν τις διανομές Android από τρίτους που ενσωματώνουν διορθώσεις ασφαλείας για μη υποστηριζόμενες συσκευές ή μετακινούνται σε ένα νεότερο μοντέλο που υποστηρίζεται από τον ΚΑΕ.
Για να εφαρμόσετε την τελευταία ενημέρωση Android, μεταβείτε στο Ρυθμίσεις> Ασφάλεια & Προστασία Προσωπικών Δεδομένων> Σύστημα & Ενημερώσεις> Ενημέρωση Ασφαλείας> Κάντε κλικ στην επιλογή “Έλεγχος για ενημέρωση.” (Η διαδικασία μπορεί να διαφέρει ανά OEM/μοντέλο).
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
