Androidning navbatdagi yangilanishi zero-day sifatida eksploitlangan FreeType zaifligini bartaraf etdi

Androidning 2025-yil may oyidagi xavfsizlik yangilanishi FreeType ochiq manbali renderlash mexanizmidagi zaiflik uchun patchlarni o‘z ichiga oladi.

Dushanba kuni Google Android smartfonlari uchun yangi xavfsizlik yangilanishini chiqara boshladi, taxminan 50 ta zaiflik, jumladan, suiiste'mol qilinayotgan xatoliklar tuzatildi.

Ushbu zaiflik CVE-2025-27363 (CVSS bahosi: 8.1) sifatida qayd etilgan bo‘lib, FreeType dasturiy ta’minot kutubxonasiga ta’sir qiladi va 2025-yil 1-mayda chiqarilgan xavfsizlik yangilanishining birinchi qismi doirasida bartaraf etilgan.

Muammo ochiq manbali renderlash "engine"nining 2.13.0 gacha (shu jumladan) bo‘lgan talqinlarida chegaradan tashqariga yozuv (out-of-bounds write) holati sifatida tasvirlanadi va bu holat ixtiyoriy (arbitrary) kod bajarilishiga olib kelishi mumkin.

Google Androidning 2025-yil may oyidagi xavfsizlik byulletenida ushbu zaiflik CVE-2025-27363 cheklangan va maqsadli eksploit qilinayotgan bo‘lishi mumkinligini qayd etmoqda.

Internet giganti (Google) ushbu xatolikni bartaraf etuvchi patchlarni taxminan ikki oy o‘tib chiqardi, ya’ni Facebookning bosh kompaniyasi — Meta bu zaiflik "zero-day" sifatida eksploit qilinganini ogohlantirib, barcha tashkilotlarga FreeType kutubxonasining 2.13.3 yoki undan yuqori talqiniga yangilanishni tavsiya qilganidan so‘ng.

CVE-2025-27363 zaifligidan foydalanilgan hujumlar haqida ochiq manbada hech qanday ma’lumot mavjud emas.

Androidning 2025-05-01 xavfsizlik yangilanishi Framework va System komponentlarida aniqlangan jami 24 ta yuqori darajadagi zaiflikni bartaraf etadi. Ularning aksariyati imtiyozlarni oshirish (elevation of privilege) uchun eksploit qilinishi mumkin.

Joriy oy yangilanishining ikkinchi qismi esa qurilmalarga 2025-05-05 xavfsizlik yangilanish darajasi sifatida yetib bordi va unda Imagination Technologies, Arm, MediaTek hamda Qualcomm komponentlaridagi 22 ta zaiflik bartaraf etilgan. Shuningdek, bu yangilanish Linux Kernelining uzoq muddatli qo‘llab-quvvatlash (LTS) talqinini ham yangilaydi.

Googlening ogohlantirishida, shuningdek, Project Mainline komponentlarida aniqlangan to‘rtta xavfsizlik nuqsoni haqida ham so‘z boradi — ular Google Play tizim yangilanishlari orqali bartaraf etilgan.

2025-05-05 xavfsizlik yangilanish darajasiga ega Android qurilmalari may oyidagi barcha xavfsizlik zaifliklari va undan oldingi oylik yangilanishlarda bartaraf etilgan muammolarni o‘z ichiga oladi.

Shuningdek, ushbu oyning Automotive OS uchun chiqarilgan yangilanishi Androidning 2025-yil may oyidagi xavfsizlik byulletenida ko‘rsatilgan tuzatishlarni o‘z ichiga olsa-da, ushbu platformaga xos hech qanday yangi xavfsizlik patchlari kiritilmagan.

Androidning may oyidagi tuzatishlaridan tashqari, Wear OS uchun yangilanish platformaga xos bo‘lgan to‘rtta xatolikni bartaraf etdi. Ular imtiyozlarni oshirish (elevation of privilege) yoki xizmatdan mahrum qilish (denial of service) holatiga olib kelishi mumkin edi.