Google の FreeType on Android の脆弱性 CVE-2025-27363 が FIX：任意のコード実行の恐れ

Google fixes actively exploited FreeType flaw on Android

2025/05/06 BleepingComputer — Google は、Android 向けの 2025年5月セキュリティ・アップデートをリリースした。このアップデートでは、45件のセキュリティ脆弱性が修正されているが、その中には、現在も悪用されている FreeType 2 のゼロクリック・コード実行の欠陥も含まれる。FreeType は、人気の OSS フォント・レンダリング・ライブラリであり、画像の表示や、プログラムによるテキストの追加にも対応している。この脆弱性 CVE-2025-27363 は、深刻度の高い任意のコード実行を許すものであり、Facebook のセキュリティ研究者たちにより、2025年3月に発見された。

この脆弱性が影響を及ぼす範囲は、2023年2月9日にリリースされた、FreeType のバージョン 2.13 以下であるが、すでに修正されている。

このセキュリティ情報には、「限定的かつ標的を絞った攻撃において、脆弱性 CVE-2025-27363 の悪用を示す兆候が観測されている」と記されている。

Facebook と Google は、この脆弱性を悪用する攻撃の、具体的な詳細を明らかにしていない。しかし、2025年3月に、Facebook が公開した情報によると、FreeType が悪意の TrueType GX または可変フォント・ファイルを解析する際に、この脆弱性が悪用され、コード実行につながる可能性があるとのことだ。

Facebook の開示情報には、「FreeType バージョン 2.13.0 以下には、TrueType GX および可変フォント・ファイルに関連する、フォント・サブグリフ構造を解析する際に、境界外書き込みを引き起こす脆弱性が存在する」と記載されている。

Facebook は、「この脆弱なコードは、符号付き short 値を、符号なし long 型に代入し、その後に静的値を追加することでラップ・アラウンドを引き起こし、結果的に小さ過ぎるヒープバッファを割り当てることになる。その後に、このバッファを基準として、最大で６つの符号付き long 型整数を境界外に書き込む。それにより、任意のコード実行の可能性が生じる」と付け加えている。

2025年5月に Google が修正した、その他の脆弱性は、Framework／System／Google Play／Android Kernel の問題に加え、MediaTek／Qualcomm／Arm／Imagination Technologies などのコンポーネントにおける、セキュリティ・ギャップに関するものだ。

Android コア・コンポーネントの脆弱性は、すべて深刻度 High と評価されており、その大半は権限昇格の問題である。

リリースされた修正プログラムの対象は、Android バージョン 13／14／15 であるが、すべての脆弱性が３つのバージョンに影響を及ぼすわけではない。

すでに Android 12 は、2025年3月31日にサポートが終了しており、セキュリティ修正プログラムは提供されなくなった。ただし、Android 12 (それ以前のバージョン) においても、最新の公開情報に記載されている、一部の脆弱性の影響が生じる可能性がある。

Google は、これらのデバイスに対する重要な修正プログラムを、Google Play システム・アップデート・チャネルを通じて、定期的に展開している。ただし、古いデバイスにおいては、現時点で悪用されている脆弱性への、具体的な修正プログラムの提供が保証されているわけではない。

Android バージョン 13 を利用している場合には、サポート対象外のデバイス向けのセキュリティ修正プログラムを組み込んだ、サードパーティ製の Android ディストリビューションを検討する必要があるかもしれない。もしくは、OEM がサポートしている、新しいモデルへの移行が推奨される。

最新の Android アップデートを適用するには、Settings > Security & privacy > System & updates > Security update へと移行し、’Check for update’ をクリックする。ただし、このプロセスは、OEM／Model に応じて異なる場合がある。

今月の Android 向けセキュリティ・アップデートでは、45件の脆弱性が修正されたとのことです。ユーザーの皆さんは、アップデートを忘れないよう、ご注意ください。なお、FreeType の脆弱性 CVE-2025-27363 の第一報は、2025/03/11 の「FreeType Font Library の脆弱性 CVE-2025-27363 が FIX：Linux／Mobile／Browser で悪用の可能性」となります。よろしければ、Google で検索と併せて、ご参照ください。