Androidの定例アップデートでFreeTypeのゼロデイ脆弱性（CVE-2025-27363）が修正

Googleは2025年5月5日、Androidの月例セキュリティアップデート（2025-05-01および2025-05-05）を公開し、合計50件以上の脆弱性に対処しました。中でも注目されているのが、FreeTypeライブラリに存在し、実際に悪用が確認されていた「CVE-2025-27363」への対応です。

この脆弱性は標的型ゼロデイ攻撃に使用された可能性があり、GoogleはAndroid利用者に対し早急なアップデートを呼びかけています。

CVE-2025-27363の概要と深刻度

• CVE番号：CVE-2025-27363

• 影響ライブラリ：FreeType（v2.13.0以前）

• 深刻度スコア：CVSS 8.1（高）

• 脆弱性タイプ：アウト・オブ・バウンズ書き込み（メモリ破損）

• 悪用状況：限定的だが標的型攻撃での悪用の可能性あり

FreeTypeは文字描画に広く使用されているオープンソースライブラリで、Androidだけでなく他のOSやソフトウェアでも利用されています。この脆弱性により、任意のコードが実行される可能性があり、特にリモートからの攻撃に悪用されると深刻な影響が想定されます。

対応内容とセキュリティパッチレベル

• セキュリティパッチレベル 2025-05-01

  • CVE-2025-27363を含む、フレームワークおよびシステムに関する24件の高リスク脆弱性を修正

  • 他にも、権限昇格（EoP）や情報漏洩（ID）、サービス拒否（DoS）などに分類される脆弱性に対応

• セキュリティパッチレベル 2025-05-05

  • MediaTek、Qualcomm、Arm、Imagination Technologiesのチップセット関連脆弱性22件を修正

  • カーネルLTSバージョンの更新（例：Android 12搭載端末では5.4.284への更新）

これらのパッチは、Android 13、14、15を対象としたGoogle Pixelシリーズなどの端末に順次配信されており、パッチレベルが「2025-05-05」になっているデバイスでは全件の脆弱性に対処済みとなります。

ゼロデイとしての背景と対応の経緯

このFreeTypeの脆弱性に関しては、Meta（Facebookの親会社）が2025年3月に初めて実際の悪用を警告。その後、Googleが調査を進め、5月のAndroidアップデートで修正を行いました。

なお、悪用に関する具体的な技術的詳細や攻撃手法、標的となった事例は現時点では公開されていません。