Google, Android için Mayıs 2025 güvenlik güncellemelerini, aktif olarak kullanılmış sıfır tıkalı Freetype 2 kod yürütme güvenlik açığı da dahil olmak üzere 45 güvenlik kusuru için düzeltmelerle yayınladı.
Freetype, görüntülere görüntülenen ve programlı olarak metin ekleyen popüler bir açık kaynaklı yazı tipi oluşturma kitaplığıdır.
CVE-2025-27363 olarak izlenen kusur, Mart 2025’te Facebook Güvenlik Araştırmacıları tarafından keşfedilen yüksek şiddetli keyfi bir kod yürütme hatasıdır.
9 Şubat 2023’te yayınlanan 2.13’e kadar olan tüm Freetype sürümlerini etkiler ve güvenlik açığını ele alır.
Bülten, “CVE-2025-27363’ün sınırlı, hedefli sömürü altında olabileceğine dair göstergeler var.”
Ne Facebook ne de Google, kusurun saldırılarda nasıl kullanıldığı hakkında ayrıntıları açıklamadı. Ancak, Facebook’un Mart ayındaki açıklaması, Freetype kötü amaçlı bir Truetype GX veya değişken yazı tipi dosyasını ayrıştırdığında kod yürütülmesine yol açtığında kullanılabileceğini açıklıyor.
Facebook’un açıklamasını okurken, “Truetype GX ve değişken yazı tipi dosyalarıyla ilgili yazı tipi subglyph yapılarını ayrıştırmaya çalışırken,” 2.13.0 ve daha düşük olan Freetype sürümlerinde (Freetype’ın daha yeni sürümleri savunmasız değildir), “
“Savunmasız kod, imzasız bir uzun değere imzalı kısa bir değer atar ve daha sonra bir yığın arabelleğini sarmasına ve çok küçük bir tampon tahsis etmesine neden olan statik bir değer ekler. Daha sonra, bu tampona göre sınırlardan 6 adet imzalı uzun tamsayıyı yazar. Bu, keyfi kod yürütmesine neden olabilir.”
Google tarafından bu ay yapılan kusurların geri kalanı, çerçeve, sistem, Google Play ve Android çekirdeğindeki sorunların yanı sıra MediaTek, Qualcomm, ARM ve Imagination Technologies’in tescilli bileşenlerindeki güvenlik boşluklarıyla ilgilidir.
Çekirdek Android bileşenlerindeki tüm kusurlar, çoğu ayrıcalık probleminin yükselmesi ile yüksek şiddet olarak derecelendirilmiştir.
Yayınlanan tüm güvenlik açıkları üçünü de etkilemese de, yayınlanan Android sürümleri 13, 14 ve 15 ile ilgilidir.
Android 12 31 Mart 2025’te desteğin sonuna ulaştı, bu yüzden artık güvenlik düzeltmeleri almıyor. Bununla birlikte, BT (ve eski sürümler) en son bültende listelenen bazı güvenlik açıklarından etkilenebilir.
Google, bu cihazlar için Google Play System Update kanalı üzerinden düzenli olarak kritik düzeltmeleri içeriyor, ancak aktif olarak kullanılmış kusurlara yönelik belirli düzeltmeler eski cihazlar için garanti edilmiyor.
13 yaşından büyük sürümlerdeki Android kullanıcılarının, desteklenmeyen cihazlar için güvenlik düzeltmelerini içeren veya OEM tarafından desteklenen daha yeni bir modele taşınmak için üçüncü taraf Android dağıtımlarını dikkate alması önerilir.
En son Android güncellemesini uygulamak için Ayarlar> Güvenlik ve Gizlilik> Sistem ve Güncellemeler> Güvenlik Güncellemesi> ‘Güncelleme için Kontrol”yi tıklatın. (İşlem OEM/Model başına değişebilir).
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.