Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนสำหรับระบบ Android รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 46 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีจริง
ช่องโหว่ดังกล่าวคือ CVE-2025-27363 (คะแนน CVSS: 8.1) ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูงใน System component ที่อาจนำไปสู่การเรียกใช้โค้ดอันตรายบนเครื่องได้ โดยไม่จำเป็นต้องใช้สิทธิ์พิเศษใด ๆ เพิ่มเติม
เมื่อวันที่ 05 พฤษภาคม 2025 Google ระบุว่า "เป็นช่องโหว่ที่ร้ายแรงที่สุดในบรรดาช่องโหว่ความปลอดภัยระดับสูงใน System component ที่สามารถนำไปสู่การเรียกใช้โค้ดอันตรายบนเครื่องได้โดยไม่ต้องใช้สิทธิ์ใด ๆ เพิ่มเติม และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้สำหรับการโจมตี"
ช่องโหว่ CVE-2025-27363 มีต้นตอมาจาก FreeType ซึ่งเป็น library แบบ open-source สำหรับการเรนเดอร์ฟอนต์ โดยช่องโหว่นี้ถูกเปิดเผยครั้งแรกโดย Facebook ในเดือนมีนาคม 2025 และได้รับการยืนยันว่าเคยถูกนำไปใช้ในการโจมตีจริงแล้ว
ช่องโหว่ดังกล่าวถูกอธิบายว่าเป็นช่องโหว่แบบ out-of-bounds write ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดเมื่อมีการประมวลผลไฟล์ฟอนต์ประเภท TrueType GX และฟอนต์แบบ variable fonts โดยปัญหานี้ได้รับการแก้ไขแล้วใน FreeType เวอร์ชั่น 2.13.0 ขึ้นไป
Google ระบุใน bulletin ด้านความปลอดภัยว่า "มีสัญญาณที่แสดงให้เห็นว่า CVE-2025-27363 อาจกำลังถูกนำไปใช้ในการโจมตีแบบจำกัด และแบบมีเป้าหมายเป็นพิเศษ" แต่ยังไม่มีข้อมูลแน่ชัดเกี่ยวกับลักษณะของการโจมตีในขณะนี้
การอัปเดตของ Google ประจำเดือนพฤษภาคมนี้ ยังได้แก้ไขช่องโหว่อื่น ๆ อีก 8 รายการในระบบ Android และ 15 รายการใน Framework module ซึ่งอาจถูกนำไปใช้เพื่อยกระดับสิทธิ์ (privilege escalation), การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต (information disclosure) และการโจมตีแบบ DDoS ได้
Google ระบุเพิ่มเติมว่า "การโจมตีจากช่องโหว่หลายรายการบนระบบ Android จะทำได้ยากขึ้นจากการปรับปรุงด้านความปลอดภัยในเวอร์ชันใหม่ ๆ ของแพลตฟอร์ม Android และหากเป็นไปได้ ขอแนะนำให้ผู้ใช้ทุกคนทำการอัปเดตระบบ Android ให้เป็นเวอร์ชั่นล่าสุด เพื่อแก้ไขปัญหาช่องโหว่ต่าง ๆ"
ที่มา : thehackernews
You must be logged in to post a comment.