Source: https://www.securityweek.com/freetype-zero-day-found-by-meta-exploited-in-paragon-spyware-attacks/
🛡 概要
Metaが所有するWhatsAppは、最近発見されたFreeTypeの脆弱性が、イスラエルの監視ソリューションプロバイダーであるパラゴンの攻撃に関連していると報告しています。2023年3月中旬、MetaはCVE-2025-27363という脆弱性に関するアドバイザリーを公開し、これはオープンソースのFreeTypeライブラリにおける境界外の脆弱性であり、任意のコード実行を引き起こす可能性があると警告しました。脆弱性は実際に悪用されている可能性があるとされ、5月初旬にはAndroidでパッチが適用されましたが、CVE-2025-27363を悪用した攻撃に関する公の情報はまだありません。
🔍 技術詳細
CVE-2025-27363は、FreeType 2.13.0およびそれ以前のバージョンに影響を与える脆弱性です。この脆弱性は、TrueType GXおよび可変フォントファイルに関連するフォントサブグリフ構造を解析しようとする際にトリガーされます。Metaのアドバイザリーによれば、脆弱なコードは符号付きショート値を符号なしロングに割り当て、静的値を加算することによりラップアラウンドを引き起こし、ヒープバッファを過小に割り当てます。その結果、バッファの境界外に最大6つの符号付きロング整数が書き込まれる可能性があります。これにより、任意のコード実行が可能になるとされています。Citizen Labは、パラゴンのGraphiteスパイウェアがオーストラリア、カナダ、デンマーク、イタリア、キプロス、シンガポール、イスラエルなどで使用されている証拠を発見しました。
⚠ 影響
この脆弱性の影響は広範囲にわたります。特に、パラゴンが開発したスパイウェアは、ユーザーのインタラクションを必要とせずに攻撃を行うことができるため、非常に危険です。Citizen Labによると、パラゴンは最近まで最新のiPhoneをハッキングする能力を持っていたとされています。このような攻撃は、個人のプライバシーや企業の機密情報に対する重大な脅威です。また、脆弱性が悪用された場合、攻撃者はターゲットデバイスに対してフルコントロールを得ることが可能であり、情報の漏洩やシステムの乗っ取りといった深刻な事態を引き起こす可能性があります。
🛠 対策
ユーザーは、FreeTypeライブラリを使用しているアプリケーションを最新のバージョンに更新することが重要です。また、セキュリティパッチを適用することで、CVE-2025-27363に対する防御を強化できます。特に、Androidデバイスのユーザーは、公式なアップデートを適用し、脆弱性が修正されていることを確認する必要があります。さらに、スパイウェアからの保護を強化するために、信頼できるセキュリティソフトウェアを利用し、不審なリンクや添付ファイルを開かないことが推奨されます。業界全体での情報共有と協力も、脅威に対する防御を強化するために重要です。
