記事本文(要約)
Googleは2025年5月のAndroidセキュリティアップデートで、45のセキュリティ欠陥を修正しました。その中には、FreeType 2におけるゼロクリックでのコード実行脆弱性も含まれています。この脆弱性はCVE-2025-27363として追跡され、高い深刻度の任意コード実行バグです。FreeTypeのバージョン2.13までに影響し、フェイスブックのセキュリティ研究者によって発見されました。
この脆弱性は、悪意のあるTrueType GXや可変フォントファイルを解析する際にコードが不正に実行される可能性があります。セキュリティ更新はAndroidのバージョン13, 14, 15に対応していますが、すべての脆弱性がこれらすべてのバージョンに影響するわけではありません。また、Android 12は2025年3月31日にサポート終了しており、これ以降の修正は受けられません。
Androidユーザーは、設定メニューから最新のセキュリティアップデートを適用することが推奨されます。また、古いAndroidバージョンを使用しているユーザーは、サードパーティのAndroidディストリビューションを検討するか、OEMがサポートする新しいモデルに移行することを勧められています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 06 May 2025 09:33:38 -0400
Original URL: https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/
詳細な技術情報
この文章に基づくセキュリティに関する詳細な分析を以下に示します。
CVE番号
- CVE-2025-27363: FreeType 2における任意コード実行の脆弱性
脆弱性の仕組み
- FreeType 2はフォントを解析し、画像にプログラム的にテキストを追加するオープンソースのライブラリです。CVE-2025-27363の脆弱性は、TrueType GXまたは可変フォントファイルを解析する際に発生します。
- 具体的には、署名された短整数を無署名の長整数に割り当てた後、静的な値を加算することによってバッファサイズが不正に計算され、ヒープバッファが過小に確保されます。この結果、バッファ外への書き込みが発生し、任意のコード実行が可能になります。
攻撃手法
- 悪意のあるTrueType GXまたは可変フォントファイルを解析する際に、コードが実行される。この手法により、攻撃者は任意のコードを実行し、システムを制御することが可能です。
- ゼロクリックベースの攻撃手法であるため、ターゲットが何らかの操作を行わずとも脆弱性が悪用される可能性があります。
潜在的な影響
- この脆弱性を悪用することで、攻撃者はターゲットデバイス上で任意のコードを実行できます。これにより、個人情報の漏洩、デバイスのフルコントロール、または他の悪意のある操作が可能になる危険性があります。
推奨される対策
- アップデートを適用: Androidデバイスは最新のセキュリティアップデートを適用することで、この脆弱性から保護されます。セキュリティ更新を確認する手順は以下の通りです:設定 > セキュリティとプライバシー > システムと更新 > セキュリティ更新 > 『更新を確認』をクリック。
- サポートされているデバイスへの移行: Android 12以前のバージョンはもはやサポートされていないため、これらのデバイスは脆弱性に対処する公式な修正を受けられません。したがって、サポートが継続されているOEMによる新しいデバイスに移行するか、セキュリティ修正を含むサードパーティのAndroidディストリビューションの利用を検討してください。
- システムアップデートの定期的な確認: Androidユーザーは定期的にシステムアップデートを確認し、迅速に適用することを推奨します。これにより、新たに発見される脆弱性に対して迅速に対応できるようになります。
この脆弱性は非常に重大であるため、迅速な対策が求められます。特に、攻撃が「限定的かつ標的を絞った形で」行われている兆候があるため、ターゲットとなりうる企業や個人は特に警戒が必要です。
