Google a publié les mises à jour de sécurité de mai 2025 pour Android avec des correctifs pour 45 failles de sécurité, y compris une vulnérabilité d’exécution de code FreeType 2 à zéro clic activement exploitée.
FreeType est une bibliothèque de rendu de polices open source populaire qui affiche et ajoute du texte par programme aux images.
La faille, identifiée sous le nom de CVE-2025-27363, est un bogue d’exécution de code arbitraire de haute gravité découvert par des chercheurs en sécurité de Facebook en mars 2025.
Elle affecte toutes les versions de FreeType jusqu’à la version 2.13, publiée le 9 février 2023, et corrige la vulnérabilité.
« Il y a des indications que CVE-2025-27363 pourrait faire l’objet d’une exploitation limitée et ciblée », lit-on dans le bulletin.
Ni Facebook ni Google n’ont divulgué de détails sur la manière dont la faille est utilisée dans les attaques. Cependant, la divulgation de Facebook en mars explique qu’il peut être exploité lorsque FreeType analyse un fichier TrueType GX malveillant ou un fichier de polices variables, conduisant à l’exécution de code.
« Une écriture hors limites existe dans les versions FreeType 2.13.0 et inférieures (les versions plus récentes de FreeType ne sont pas vulnérables) lors de la tentative d’analyse des structures de sous-glyphes de polices liées à TrueType GX et aux fichiers de polices variables », lit la divulgation de Facebook.
« Le code vulnérable attribue une valeur courte signée à une valeur longue non signée, puis ajoute une valeur statique, ce qui la fait s’enrouler et allouer un tampon de tas trop petit. Le code écrit ensuite jusqu’à 6 entiers longs signés hors limites par rapport à ce tampon. Cela peut entraîner l’exécution de code arbitraire. »
Le reste des failles corrigées par Google ce mois-ci concernent des problèmes de Framework, de système, de Google Play et du noyau Android, ainsi que des failles de sécurité dans les composants propriétaires des technologies MediaTek, Qualcomm, Arm et Imagination.
Toutes les failles des composants principaux d’Android sont classées comme étant de haute gravité, la plupart étant des problèmes d’élévation de privilèges.
Les correctifs publiés concernent les versions Android 13, 14 et 15, bien que toutes les vulnérabilités n’affectent pas les trois.
Android 12 a atteint la fin du support le 31 mars 2025, il ne reçoit donc plus de correctifs de sécurité. Cependant, il (et les anciennes versions) peuvent être affectés par certaines des vulnérabilités répertoriées dans le dernier bulletin.
Google intègre régulièrement des correctifs critiques pour ces appareils via le canal de mise à jour du système Google Play, bien que des correctifs spécifiques aux failles activement exploitées ne soient pas garantis pour les appareils plus anciens.
Il est recommandé aux utilisateurs d’Android sur des versions antérieures à 13 d’envisager des distributions Android tierces qui intègrent des correctifs de sécurité pour les appareils non pris en charge ou de passer à un modèle plus récent pris en charge par son OEM.
Pour appliquer la dernière mise à jour Android, accédez à Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité > cliquez sur « Rechercher la mise à jour ».(le processus peut varier par OEM / modèle).