【安全资讯】谷歌修复Android上被积极利用的FreeType漏洞

概要：

谷歌近期发布了2025年5月的Android安全更新，修复了45个安全漏洞，其中包括一个被积极利用的零点击FreeType 2代码执行漏洞。此漏洞的存在对Android用户构成了严重威胁，尤其是在恶意攻击者利用该漏洞进行攻击时，用户的设备安全性受到挑战。

主要内容：

此次修复的FreeType漏洞被追踪为CVE-2025-27363，是由Facebook安全研究人员在2025年3月发现的高危漏洞。该漏洞影响所有FreeType版本，直到2023年2月发布的2.13版本。根据公告，存在迹象表明CVE-2025-27363可能正在受到有限的针对性利用。虽然Facebook和谷歌没有透露具体的攻击细节，但研究表明，当FreeType解析恶意的TrueType GX或可变字体文件时，攻击者可以利用该漏洞实现代码执行。

漏洞的根本原因在于FreeType在处理与TrueType GX和可变字体文件相关的字体子字形结构时，存在越界写入的问题。具体来说，漏洞代码将一个有符号短整型值分配给一个无符号长整型值，导致内存分配不足，从而可能导致任意代码执行。谷歌本月修复的其他漏洞涉及Android框架、系统、Google Play和Android内核中的问题，以及来自MediaTek、Qualcomm、Arm和Imagination Technologies的专有组件中的安全缺口。

此次更新适用于Android 13、14和15版本，虽然并非所有漏洞都影响这三个版本。谷歌建议使用旧版本Android的用户考虑使用包含安全修复的第三方Android发行版，或升级到支持的设备。用户可以通过设置菜单检查并应用最新的安全更新，以确保设备的安全性。