U.S. CISA adds FreeType flaw to its Known Exploited Vulnerabilities catalog
2025/05/07 SecurityAffairs — Cybersecurity and Infrastructure Security Agency (CISA) は、FreeType の脆弱性 CVE-2025-27363 (CVSS:8.1) を Known Exploited Vulnerabilities (KEV) カタログに追加した。2025年3月中旬に Meta は、この境界外書き込みの脆弱性が、攻撃で悪用されている可能性があると警告していた。
Meta が公開したアドバイザリには、「FreeType バージョン 2.13.0 以下では、TrueType GX および可変フォント・ファイルに関連する、フォントのサブグリフ構造を解析しようとする際に、境界外書き込みが発生する可能性がある。この脆弱なコードは、符号付き Short 数値を符号なし Long 数値に代入し、その後に静的な値を追加することでラップ・アラウンドを引き起こし、小さ過ぎるヒープ・バッファを割り当てる。結果として、このバッファをベースとして、最大6つの符号付き Long 数値を境界外に書き込むことになる。それにより、任意のコード実行の可能性が生じる」と記されている。
同社は、この脆弱性を悪用する攻撃について、詳細/攻撃者/攻撃規模を明らかにしていない。ただし、アドバイザリには、「この脆弱性は、実際に悪用されている可能性がある」と記されている。
この脆弱性は、FreeType バージョン 2.13.3 以降には影響を及ぼさない。
専門家たちが警告するのは、複数の Linux ディストリビューションにおいて、古いライブラリ・バージョンが使用されているため、攻撃に対して脆弱になっている点だ。
Google のセキュリティ情報には、「Android プラットフォームの新しいバージョンでは、機能の強化が行われており、この問題の Android における悪用は困難になっている。すべてのユーザーに推奨されるのは、最新バージョンの Android へとアップデートすることだ」と記されている。
今週に Google は、Android 向けの月例セキュリティ・アップデートを実施し、46 件の脆弱性を修正した。その中には、実際に悪用されている脆弱性 CVE-2025-27363 (CVSS:8.1) も含まれている。ただし Google は、この脆弱性を悪用する攻撃や脅威アクターについて、詳細を明らかにしていない。
この脆弱性はシステム・コンポーネントに存在し、その悪用に成功した攻撃者は、ローカル・コード実行の可能性を手にする。
2025年5月の Android セキュリティに関する公開情報には、「これらの問題の中で、最も深刻なものは、システム・コンポーネントに存在するが、その悪用において、追加の実行権限は必要されず、ユーザーの操作は不要である。結果として、ローカル・コード実行につながる可能性のある、高レベルのセキュリティ脆弱性だ。この CVE-2025-27363 には、限定的で標的を絞った攻撃での悪用の可能性を示す兆候がある」と記載されている。
拘束力のある運用指令 (BOD) 22-01:FCEB 機関は、このカタログ上の脆弱性を悪用する攻撃から、ネットワークを保護するために、期限までに対処する必要がある。CISA は、連邦政府機関に対して、2025年5月27日までに、この脆弱性を修正するよう命じている。
さらに専門家たちは、民間組織に対してもカタログを確認し、インフラの脆弱性に対処することを推奨している。
FreeType の脆弱性 CVE-2025-27363 が CISA KEV に登録されました。ご利用のチームは、十分にご注意ください。なお、この脆弱性に関しては、以下の記事でも取り上げています。よろしければ、CISA KEV ページと併せて、ご参照ください。
2025/05/06:FreeType on Android の CVE-2025-27363 が FIX
2025/03/11:FreeType Font Library の CVE-2025-27363 が FIX
IoT OT Security News 
You must be logged in to post a comment.