Android обновился, но стал уязвим — уязвимость работает без тебя.
Google выпустила очередное для Android, устранив 46 уязвимостей, одна из которых уже активно используется в реальных атаках. Речь идёт о критической уязвимости, которая затрагивает системный компонент Android и уже использовалась в реальных атаках. Она позволяет выполнить произвольный код на устройстве без получения дополнительных прав и без какого-либо взаимодействия со стороны пользователя.
(оценка CVSS: 8.1) связана с библиотекой FreeType — широко используемой системой рендеринга шрифтов с открытым исходным кодом. представляет собой ошибку записи за пределами буфера (out-of-bounds write) при обработке шрифтов TrueType GX и variable fonts. Проблема была устранена в версиях FreeType выше 2.13.0.
Хотя точные подробности атак пока неизвестны, Google подтверждает, что уязвимость могла использоваться ограниченно и прицельно. Это говорит о том, что эксплойты, использующие данный баг, могли применяться в рамках таргетированных атак на отдельные устройства или пользователей, обладающих ценными данными.
Помимо данной уязвимости, майское обновление включает и другие исправления. Среди них — недостатки, позволяющие повысить привилегии, раскрыть конфиденциальную информацию или вывести систему из строя.
Обновления безопасности от 1 и 5 мая 2025 года устраняют сразу две группы критичных уязвимостей. Первая волна включает дыры в фреймворке Android, которые открывали путь к повышению привилегий. Вторая — ошибки в ядре, системных модулях и медиакомпонентах, позволяющие запуск вредоносного кода и утечку конфиденциальной информации.
Особое внимание уделено уязвимостям в компонентах от сторонних производителей. Так, в PowerVR GPU от Imagination Technologies устранено семь отдельных проблем, каждая из которых имеет высокий уровень риска. Аналогично, чипы ARM Mali и модемы MediaTek также получили критические исправления. Qualcomm не осталась в стороне — компания подтвердила наличие нескольких уязвимостей в ядре, камере, системе позиционирования и WLAN, включая закрытые компоненты.
Стоит отметить, что многие из уязвимостей связаны с так называемым «окончанием срока действия» — термином, которым Android обозначает повышающие привилегии баги, позволяющие обойти стандартную защиту. Кроме того, в обновление включены исправления для компонентов Project Mainline, которые теперь обновляются напрямую через Google Play, независимо от производителя устройства.
Безопасность Android теперь зависит не только от прошивки, но и от своевременного обновления системных компонентов, доступных через Google Play Protect. Именно он отслеживает вредоносную активность, особенно для пользователей, устанавливающих приложения вне Google Play.
Пользователям Android настоятельно рекомендуется проверить уровень обновлений безопасности и убедиться, что он не ниже даты 5 мая 2025 года. Производителям же рекомендуется объединить все исправления в одно обновление, чтобы обеспечить защиту от всех описанных уязвимостей.
Актуальный список CVE включает десятки позиций, среди которых 15 багов в фреймворке, 9 уязвимостей в системных компонентах, а также множество ошибок в сторонних чипсетах. Устройства под управлением Android 10 и выше, как правило, получают как исправления, так и обновления системы Google Play.
Таким образом, майский бюллетень подчёркивает необходимость оперативного обновления, особенно с учётом риска целенаправленного использования уязвимостей, вроде CVE-2025-27363. В условиях постоянного усложнения мобильных угроз даже одна незакрытая дыра может привести к захвату устройства без ведома пользователя.
Подробнее:
Google выпустила очередное для Android, устранив 46 уязвимостей, одна из которых уже активно используется в реальных атаках. Речь идёт о критической уязвимости, которая затрагивает системный компонент Android и уже использовалась в реальных атаках. Она позволяет выполнить произвольный код на устройстве без получения дополнительных прав и без какого-либо взаимодействия со стороны пользователя.
(оценка CVSS: 8.1) связана с библиотекой FreeType — широко используемой системой рендеринга шрифтов с открытым исходным кодом. представляет собой ошибку записи за пределами буфера (out-of-bounds write) при обработке шрифтов TrueType GX и variable fonts. Проблема была устранена в версиях FreeType выше 2.13.0.
Хотя точные подробности атак пока неизвестны, Google подтверждает, что уязвимость могла использоваться ограниченно и прицельно. Это говорит о том, что эксплойты, использующие данный баг, могли применяться в рамках таргетированных атак на отдельные устройства или пользователей, обладающих ценными данными.
Помимо данной уязвимости, майское обновление включает и другие исправления. Среди них — недостатки, позволяющие повысить привилегии, раскрыть конфиденциальную информацию или вывести систему из строя.
Обновления безопасности от 1 и 5 мая 2025 года устраняют сразу две группы критичных уязвимостей. Первая волна включает дыры в фреймворке Android, которые открывали путь к повышению привилегий. Вторая — ошибки в ядре, системных модулях и медиакомпонентах, позволяющие запуск вредоносного кода и утечку конфиденциальной информации.
Особое внимание уделено уязвимостям в компонентах от сторонних производителей. Так, в PowerVR GPU от Imagination Technologies устранено семь отдельных проблем, каждая из которых имеет высокий уровень риска. Аналогично, чипы ARM Mali и модемы MediaTek также получили критические исправления. Qualcomm не осталась в стороне — компания подтвердила наличие нескольких уязвимостей в ядре, камере, системе позиционирования и WLAN, включая закрытые компоненты.
Стоит отметить, что многие из уязвимостей связаны с так называемым «окончанием срока действия» — термином, которым Android обозначает повышающие привилегии баги, позволяющие обойти стандартную защиту. Кроме того, в обновление включены исправления для компонентов Project Mainline, которые теперь обновляются напрямую через Google Play, независимо от производителя устройства.
Безопасность Android теперь зависит не только от прошивки, но и от своевременного обновления системных компонентов, доступных через Google Play Protect. Именно он отслеживает вредоносную активность, особенно для пользователей, устанавливающих приложения вне Google Play.
Пользователям Android настоятельно рекомендуется проверить уровень обновлений безопасности и убедиться, что он не ниже даты 5 мая 2025 года. Производителям же рекомендуется объединить все исправления в одно обновление, чтобы обеспечить защиту от всех описанных уязвимостей.
Актуальный список CVE включает десятки позиций, среди которых 15 багов в фреймворке, 9 уязвимостей в системных компонентах, а также множество ошибок в сторонних чипсетах. Устройства под управлением Android 10 и выше, как правило, получают как исправления, так и обновления системы Google Play.
Таким образом, майский бюллетень подчёркивает необходимость оперативного обновления, особенно с учётом риска целенаправленного использования уязвимостей, вроде CVE-2025-27363. В условиях постоянного усложнения мобильных угроз даже одна незакрытая дыра может привести к захвату устройства без ведома пользователя.
Подробнее:
