A Google acaba de disponibilizar a atualização de segurança de maio de 2025 para o sistema operativo Android, trazendo consigo a correção para um total de 45 vulnerabilidades. Entre elas, destaca-se uma falha particularmente perigosa na biblioteca FreeType 2, que permite a execução de código sem qualquer interação do utilizador (zero-click) e que já se encontra a ser explorada ativamente.
Falha crítica "zero-click" no FreeType sob exploração ativa
A biblioteca FreeType é um popular componente de código aberto responsável pela renderização de tipos de letra, permitindo que o texto seja exibido e adicionado programaticamente a imagens. A vulnerabilidade crítica, identificada como CVE-2025-27363, é classificada como de alta severidade e foi descoberta por investigadores de segurança do Facebook em março de 2025.
Esta falha afeta todas as versões do FreeType até à 2.13.0. De acordo com o boletim de segurança, "existem indicações de que a CVE-2025-27363 poderá estar a ser explorada de forma limitada e direcionada". Apesar de nem o Facebook nem a Google terem divulgado pormenores sobre como a falha está a ser utilizada em ataques, a informação partilhada pelo Facebook em março esclarece que a exploração pode ocorrer quando o FreeType processa um ficheiro de fontes TrueType GX ou de fontes variáveis malicioso, levando à execução de código.
Detalhes técnicos da vulnerabilidade CVE-2025-27363
A exploração da CVE-2025-27363 assenta numa vulnerabilidade de escrita fora dos limites (out-of-bounds write). Segundo a descrição do Facebook, "existe uma escrita fora dos limites nas versões 2.13.0 e anteriores do FreeType (versões mais recentes do FreeType não são vulneráveis) ao tentar analisar estruturas de subglifos de fontes relacionadas com ficheiros TrueType GX e de fontes variáveis".
O problema reside no facto de o código vulnerável atribuir um valor signed short (inteiro curto com sinal) a um unsigned long (inteiro longo sem sinal) e, em seguida, adicionar um valor estático. Isto provoca um fenómeno de "wrap around" (quando um valor excede o limite máximo e recomeça do mínimo), resultando na alocação de um buffer na heap (memória dinâmica) consideravelmente mais pequeno do que o necessário. Consequentemente, o código escreve até seis inteiros longos com sinal fora dos limites relativos a este buffer, o que pode permitir a execução arbitrária de código.
Outras correções importantes no ecossistema Android
Para além da vulnerabilidade no FreeType, as atualizações de maio corrigem diversos outros problemas que afetam componentes centrais do Android, como a Framework, o System, o Google Play e o Kernel do Android. Foram também endereçadas falhas de segurança em componentes proprietários de fabricantes como MediaTek, Qualcomm, Arm e Imagination Technologies.
A maioria destas falhas nos componentes principais do Android são classificadas como de alta severidade, sendo que grande parte delas são problemas de escalada de privilégios, que poderiam permitir a um atacante obter permissões elevadas no sistema.
Versões do Android abrangidas e o fim de suporte do Android 12
As correções agora lançadas destinam-se às versões 13, 14 e 15 do Android, embora nem todas as vulnerabilidades afetem as três versões simultaneamente.
É importante notar que o Android 12 atingiu o fim do seu ciclo de suporte a 31 de março de 2025, o que significa que já não recebe atualizações de segurança. No entanto, esta versão (e outras mais antigas) poderá estar vulnerável a algumas das falhas listadas no boletim mais recente. A Google integra regularmente correções críticas para estes dispositivos através do canal de atualização do sistema Google Play, mas não há garantia de que falhas exploradas ativamente sejam corrigidas em dispositivos mais antigos por esta via.
Recomendações e como atualizar
Aos utilizadores de versões do Android anteriores à 13, recomenda-se que considerem a utilização de distribuições Android de terceiros que incorporem correções de segurança para dispositivos não suportados, ou que ponderem a transição para um modelo mais recente que ainda receba suporte do fabricante (OEM).
Para aplicar a atualização de segurança mais recente do Android, o procedimento habitual é aceder a Definições > Segurança e privacidade > Sistema e atualizações > Atualização de segurança > tocar em 'Procurar atualizações'. Contudo, este processo pode variar ligeiramente dependendo do fabricante e do modelo do dispositivo.
Nenhum comentário
Seja o primeiro!