Andriod FreeType javítás
A Google májusi Android biztonsági frissítése egy aktívan kihasznált, magas kockázatú sebezhetőséget javít, amely a FreeType nevű nyílt forráskódú betűkészlet-megjelenítő könyvtárat érinti. A CVE-2025-27363 azonosítóval nyilvántartott hiba a FreeType 2.13.0-s és korábbi verzióiban található, és egy memóriakezelési hibából ered, amely lehetővé teheti tetszőleges kód végrehajtását, különösen TrueType GX vagy változó betűtípusok feldolgozása során.
A sebezhetőséget először a Meta (Facebook) biztonsági csapata jelentette be 2025 márciusában, jelezve, hogy a hibát már aktívan kihasználják célzott támadásokban. Bár a támadások részletei nem ismertek, a Google megerősítette, hogy a sebezhetőséget korlátozott, célzott módon kihasználják.
A májusi biztonsági frissítés két szintből áll: a 2025-05-01-es szint 24 magas súlyosságú hibát javít a Framework és System komponensekben, míg a 2025-05-05-ös szint további 22 hibát orvosol, amelyek az Imagination Technologies, Arm, MediaTek és Qualcomm komponenseit érintik, valamint frissíti a Linux Kernel hosszú távú támogatott verzióját is.
A felhasználóknak javasolt ellenőrizniük eszközeik biztonsági frissítési szintjét, és amennyiben az nem éri el a 2025-05-05-ös szintet, mielőbb telepíteniük kell a legújabb frissítéseket a készülékük beállításain keresztül. Ez különösen fontos, mivel a sebezhetőség kihasználásához nincs szükség felhasználói interakcióra vagy további jogosultságokra, így a támadások észrevétlenül is megtörténhetnek.
A FreeType sebezhetősége nem először kerül a támadók célkeresztjébe; korábban, 2020-ban a Google a Chrome böngészőben is javított egy hasonló hibát, amelyet akkor is aktívan kihasználtak. Ez rávilágít arra, hogy a nyílt forráskódú könyvtárak biztonsági hibái komoly kockázatot jelenthetnek, különösen, ha széles körben használt rendszerekbe, mint az Android, vannak integrálva.
