170/68 (IT) ประจำวันพฤหัสบดีที่ 8 พฤษภาคม 2568
Google ได้ออกอัปเดตความปลอดภัยประจำเดือนพฤษภาคม 2025 สำหรับ Android โดยแก้ไขช่องโหว่จำนวน 46 รายการ โดยหนึ่งในนั้นมีช่องโหว่ความรุนแรงสูงหมายเลข CVE-2025-27363 (CVSS 8.1) ที่พบว่ามีการนำไปใช้โจมตีแล้ว ซึ่งทาง Google ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับผู้โจมตีหรือลักษณะของการโจมตี ช่องโหว่ดังกล่าวอยู่ใน System component ของ Android และสามารถนำไปสู่ local code execution ได้โดยไม่ต้องมีสิทธิ์ระดับสูงเพิ่มเติม และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
เมื่อช่วงกลางเดือนมีนาคมที่ผ่านมา Meta ก็ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่เดียวกันนี้ โดยชี้ว่าเป็น out-of-bounds write ในไลบรารี FreeType เวอร์ชัน 2.13.0 และก่อนหน้านั้น ซึ่งเกิดจากการจัดการค่าในหน่วยความจำผิดพลาดขณะประมวลผลไฟล์ฟอนต์แบบ TrueType GX และ variable fonts โค้ดที่มีปัญหานี้แปลงค่าประเภท signed short ไปเป็น unsigned long แล้วบวกค่าคงที่ ทำให้เกิดการ wraparound และจอง heap buffer ขนาดเล็กเกินไป ก่อนจะเขียนข้อมูลเกินขอบเขตของ buffer ถึง 6 ค่า ซึ่งอาจนำไปสู่ arbitrary code execution
แม้ว่า Google และ Meta จะไม่เปิดเผยรายละเอียดเชิงเทคนิคเพิ่มเติมเกี่ยวกับกลุ่มผู้โจมตีหรือขอบเขตของเหยื่อ แต่ทั้งสองหน่วยงานยืนยันว่าช่องโหว่นี้ มีแนวโน้มถูกนำไปใช้โจมตีในบางกรณี โดย FreeType เวอร์ชันหลังจาก 2.13.0 ไม่ได้รับผลกระทบ อย่างไรก็ตาม ผู้เชี่ยวชาญเตือนว่า ยังมี Linux distributions จำนวนมากที่ใช้ไลบรารีเวอร์ชันเก่าอยู่ ซึ่งอาจตกเป็นเป้าหมายของการโจมตีได้เช่นกัน
