Google, “sınırlı, hedeflenen sömürü altında olabilecek” bir Freetype kusuru (CVE-2025-27363) dahil olmak üzere bir grup Android güvenlik açıkları için düzeltmeler yayınladı.
CVE-2025-27363 HAKKINDA
CVE-2025-27363, yazı tiplerini (örneğin, ekranlara) oluşturan ve Android, iOS, macOS ve Linux da dahil olmak üzere birçok platformda kullanılan açık kaynaklı bir yazılım kitaplığı olan Freetype’de sınır dışı yazma güvenlik açığıdır.
Freetype, çoğunlukla bellek işlemesinden yararlanmak için kullanılan kötü biçimlendirilmiş yazı tipi dosyaları nedeniyle, yıllar boyunca birden fazla güvenlik açıklığının kaynağı olmuştur.
CVE-2025-27363, 0.0.0 ila 2.13.0 Freetype sürümlerini etkiler ve Mart 2025’te Facebook tarafından vahşi doğada sömürüldüğü gibi işaretlenmiştir.
Kütüphanenin savunmasız bir sürümü, Truetype GX ve değişken yazı tipi dosyalarıyla ilgili yazı tipi subglyph yapılarını ayrıştırmaya çalıştığında güvenlik sorunu tetiklenir.
Şirket, “Savunmasız kod, imzasız bir uzun süreye imzalı kısa bir değer atar ve daha sonra bir yığın arabelleğini sarmasına ve çok küçük bir tampon tahsis etmesine neden olan statik bir değer ekler. Daha sonra, bu arabelleğe göre 6 adet imzalı uzun tam sayaç yazıyor.
Facebook ve Google, saldırılarla ilgili ek ayrıntı paylaşmadı. Google, yalnızca güvenlik açığının, ek yürütme ayrıcalığı veya gerekli herhangi bir kullanıcı etkileşimi olmadan yerel kod yürütülmesine yol açabileceğini söyledi (yani, “sıfır-tıklatma” saldırılarında kullanılabilir).
Malwarebebytes’in Pieter Arntz’ın belirttiği gibi, “Kötü amaçlı bir yazı tipi içeren bir belge veya uygulamanın cihazınızı tehlikeye atabileceğini varsaymak makul.”
Android cihazlarınızı güncelleyin
Her zamanki gibi, Mayıs 2025 Android Güvenlik Bülteni iki güvenlik yaması seviyesi içerir: birincisi genel Android güvenlik açıklarını ele alır ve ikincisi, Qualcomm, MediaTek, Kol, vb. Gibi belirli donanım bileşenlerine veya üreticilerine özgü + güvenlik açıklarını ele alır.
Bu çift yama seviyesi sistemi, cihaz üreticilerinin güncellemeleri entegre etme ve dağıtma esnekliği sağlar. Sorunları önceden bildirirler, ancak bazen Android tabanlı cihazları için yamaları itmekle gecikerler.
Bu yama düzeyinde ele alınan 40+ güvenlik açıkları için düzeltmeler 13, 14 ve 15 Android sürümleri için sağlanmıştır.
Android kullanıcıları, cihazları için yeni güncellemeler olup olmadığını kontrol etmeli ve varsa yükseltmelidir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!