Компанія Google випустила щомісячні оновлення для Android, які усунули 46 вразливостей. Одна з цих проблем уже використовується зловмисниками і пов’язана з виконанням довільного коду в бібліотеці FreeType.

Вразливість, що перебуває під атаками, отримала ідентифікатор CVE-2025-27363 (8,1 бала за шкалою CVSS) і є проблемою в компоненті System, яка може призвести до локального виконання коду, не вимагаючи при цьому додаткових привілеїв. Взаємодія з користувачем для експлуатації бага теж не потрібна.

Корінь проблеми CVE-2025-27363 лежить в опенсорсній бібліотеці рендерингу шрифтів FreeType, і вперше про цей баг стало відомо в березні 2025 року. Тоді фахівці пояснювали, що вразливість становить небезпеку для всіх версій FreeType аж до 2.13, і вже використовувалася в атаках.

“У FreeType версій нижче 2.13.0 виявлено проблему out-of-bounds запису під час спроби парсингу підгліфових структур шрифтів, пов’язаних із TrueType GX і змінними файлами шрифтів, – писали дослідники. – Вразливий код присвоює знаковий короткий цілий (signed short) беззнаковому довгому (unsigned long), а потім додає статичне значення, що призводить до переповнення та виділення надто маленького буфера в хіпі. Потім код записує до шести знакових довгих цілих чисел (signed long), виходячи за межі цього буфера. Це може призвести до виконання довільного коду”.

Як тепер повідомляють у Google, уразливість дійсно могла піддаватися «обмеженій і цілеспрямованій експлуатації». Поки що в компанії не розкривають жодних подробиць про ці атаки.

Серед інших вразливостей, виправлених Google цього місяця, значаться проблеми в компонентах Framework, System, Google Play і ядрі Android, а також баги в безпеці пропрієтарних компонентів MediaTek, Qualcomm, Arm і Imagination Technologies. Більшість із них пов’язані з підвищенням привілеїв.