Эксплойт в шрифте, вирус в PDF, атака в чате. WhatsApp читают не только ты и мама

Компания Meta* официально подтвердила связь недавно обнаруженной уязвимости библиотеки FreeType с израильским разработчиком шпионских решений Paragon. Речь идёт об уязвимости CVE-2025-27363, которая затрагивает популярную среди разработчиков библиотеку для работы с текстом и шрифтами. Проблема позволяет выполнить произвольный код на устройстве жертвы и изначально рассматривалась как потенциально эксплуатируемая в реальных атаках.

Ещё в марте Meta разместила предупреждение о CVE-2025-27363 на странице своих рекомендаций по безопасности для Facebook*. Там отмечалось, что уязвимость затрагивает библиотеку FreeType версии 2.13.0 и более ранние редакции. Проблема кроется в некорректной обработке структур субглифов шрифтов TrueType GX и переменных шрифтов. Как объяснили специалисты, ошибка возникает из-за присваивания значения типа signed short переменной типа unsigned long. После этого происходит добавление фиксированного значения, что приводит к переполнению и выделению слишком маленького участка памяти на куче. Далее код записывает до шести длинных целых чисел за пределами выделенной области, что в итоге позволяет злоумышленнику выполнить произвольный код.

В начале мая уязвимость была закрыта в Android. Однако подробностей о конкретных атаках с использованием CVE-2025-27363 до недавнего времени не раскрывали. Как стало известно из комментариев представителей WhatsApp, именно команда мессенджера запросила присвоение CVE-идентификатора для этой уязвимости. Причиной стал тот факт, что выявленная проблема напрямую связана с эксплойтом из арсенала израильской компании Paragon.

О том, что продукты Paragon активно используются для шпионских атак, ранее сообщала исследовательская группа Citizen Lab при Университете Торонто. В марте специалисты опубликовали данные о нулевом дне в WhatsApp, эксплуатируемом в атаках с применением шпионского ПО Paragon. По словам представителей мессенджера, злоумышленники использовали групповые чаты и отправку PDF-файлов, чтобы заразить устройства. Тогда уязвимость удалось устранить на стороне серверов, без необходимости устанавливать обновления клиентских приложений.

Теперь же WhatsApp уточнил, что уязвимость CVE-2025-27363 была обнаружена в рамках более широкой проверки потенциальных каналов заражения, не связанных напрямую с WhatsApp. Цель расследования — определить, какими ещё путями компании, разрабатывающие шпионское ПО, могут доставлять вредоносный код на устройства жертв. Представители мессенджера заявили, что результаты этого расследования были переданы другим компаниям для повышения общего уровня защиты отрасли.

Шпионские продукты Paragon , в частности Graphite, уже фиксировались в ряде стран, включая Австралию, Канаду, Данию, Италию, Кипр, Сингапур и Израиль. Группа Citizen Lab неоднократно подчёркивала высокий уровень технической сложности атак Paragon и наличие эксплойтов, не требующих никаких действий со стороны жертвы — заражение происходит автоматически. В частности, ранее компания могла успешно атаковать даже актуальные версии iPhone, пока Apple не закрыла соответствующие уязвимости.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.