FreeType のゼロデイ脆弱性 CVE-2025-27363：Paragon スパイウェアによる悪用が判明？

FreeType Zero-Day Found by Meta Exploited in Paragon Spyware Attacks

2025/06/20 SecurityWeek — この FreeType の脆弱性は、情報開示の当初から悪用の可能性が指摘されていたが、イスラエルの監視ソリューション・プロバイダー Paragon による攻撃と関連していることが、Meta 傘下の WhatsApp により明らかにされた。2025年3月中旬に Meta は 、FreeType OSS ライブラリに存在する境界外書込の脆弱性 CVE-2025-27363 の情報を、Facebook のセキュリティ・アドバイザリに掲載し、ユーザーに注意を促していた。この脆弱性には、任意のコード実行につながる可能性があり、アドバイザリにも「実環境で悪用された可能性がある」と記されていた。

この脆弱性に対しては、2025年5月初旬の時点で、Android 向けのパッチが適用されていた。また、米国のサイバー・セキュリティ機関 CISA も、Known Exploited Vulnerabilities (KEV) カタログに登録していた。しかし、CVE-2025-27363 を実際に悪用する攻撃については、現時点でも詳細な情報が公開されていない。

しかし、今週の WhatsApp からの情報で確認されたのは、CVE-2025-27363 が Paragon によるエクスプロイトと関連付けられ、その後に Meta の研究者たちが、この脆弱性に対して CVE 番号をリクエストしていたことだった。

その一方で、2025年3月の時点で、University of Toronto’s Citizen Lab が報告していたのは 、Paragon によるスパイウェア攻撃で、WhatsApp のゼロデイ脆弱性が悪用されていたことだ。その頃の WhatsApp の広報担当者は、攻撃ではグループおよび PDF ファイル送信の機能が悪用されたが、この脆弱性はサーバ側で修正されており、クライアント側の対応は不要だと述べていた。

WhatsApp 以外の通信チャネルに関する調査中に発見された CVE-2025-27363 は、スパイウェア企業などの脅威アクターにより、マルウェア配信で悪用される可能性があると、同社は指摘していた。そして WhatsApp は、業界全体の防御強化のために、この調査結果を共有したとしていた。

FreeType は、テキストをビットマップにレンダリングするためのライブラリであり、その他のフォント操作もサポートしている。また、脆弱性 CVE-2025-27363 が影響を及ぼす範囲は、FreeType のバージョン 2.13.0 以下だとされる。Meta は、「TrueType GX および可変フォント・ファイルに関連する、サブグリフ構造のパース処理に、この脆弱性は起因する」と説明している。

Meta のアドバイザリには、「この脆弱なコードは、符号付き Short 整数に対して、符号なし Long 整数を代入した後の、静的値を加算する処理により、バッファ・オーバーフローが発生し、適切なサイズのヒープバッファが割り当てられないという状況を生み出す。その結果として、バッファの範囲外に最大6つの符号付き Long 整数が書き込まれ、任意コード実行の可能性が生じる」という。

Citizen Lab が発見したのは、Paragon の Graphite スパイウェアが、オーストラリア／カナダ／デンマーク／イタリア／キプロス／シンガポール／イスラエルなどで使用された証拠である。Paragon の特徴は、標的ユーザーによる操作を必要としない、高度なエクスプロイトの開発にある。同社が、最新の iPhone に対してもハッキング可能であった兆候を、Citizen Lab は確認している。その後に Apple も、関連する脆弱性を修正している。

この FreeType の脆弱性 CVE-2025-27363 ですが、今回の記事のソースとされる Citizen Lab の記事は、March 19, 2025 の “Virtue or Vice? A First Look at Paragon’s Proliferating Spyware Operations” なのだろうと推察できます。また、Apple に関しても、June 12, 2025 に “First Forensic Confirmation of Paragon’s iOS Mercenary Spyware Finds Journalists Targeted” がポストされていました。よろしければ、このブログ内を CVE-2025-27363 で検索してみてください。