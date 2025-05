Google heeft Android-updates uitgebracht voor een actief aangevallen kwetsbaarheid in FreeType die remote code execution mogelijkt. Begin maart waarschuwde Facebook al voor het probleem. FreeType is een gratis library voor het weergeven van fonts waar browsers gebruik van maken. Volgens Facebook bevatten de kwetsbare FreeType-versies een out-of-bounds write die zich voordoet bij het verwerken van 'font subglyph structures' en kan leiden tot het uitvoeren van willekeurige code.

Facebook stelt dat de kwetsbaarheid, aangeduid als CVE-2025-27363, mogelijk actief is misbruikt, maar gaf geen verdere details hierover. Een aantal jaren geleden werd een andere kwetsbaarheid in FreeType gebruikt bij aanvallen tegen Google Chrome-gebruikers. Google maakt in het beveiligingsbulletin voor Android van de maand mei melding dat CVE-2025-27363 bij beperkte, gerichte aanvallen is ingezet, maar laat verder niets weten.

Hoewel het beveiligingslek remote code execution mogelijk maakt heeft Google de impact niet als kritiek maar als 'high' beoordeeld. Het probleem is verholpen in Android 13 en 14.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de mei-updates ontvangen zullen '2025-05-01' of '2025-05-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van mei aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.