گوگل بهروزرسانیهای امنیتی ماهانه خود را برای اندروید با رفع ۴۶ نقص امنیتی، از جمله آسیبپذیری با شناسه CVE-2025-27363 (امتیاز CVSS: ۸.۱) که بهطور گسترده اکسپلویت میشود، منتشر کرده است.
آسیبپذیری مذکور با شدت بالا در مؤلفه System که میتواند منجر به اجرای کد محلی بدون نیاز به هیچ امتیاز اجرایی اضافی شود و برای اکسپلویت نیازی به تعامل کاربر نیست. نقص امنیتی CVE-2025-27363 ریشه در کتابخانه رندر فونت متنباز FreeType دارد و به عنوان آسیبپذیری نوشتن خارج از محدوده توصیف شده است که میتواند منجر به اجرای کد هنگام تجزیه فایلهای TrueType GX و فونت متغیر شود. این باگ در نسخههای FreeType بالاتر از ۲.۱۳.۰ برطرف شده است. گوگل در بولتن امنیتی خود اذعان کرد: بر اساس شوادهد، CVE-2025-27363 ممکن است تحت سوءاستفاده محدود و هدفمند قرار گرفته باشد و جزئیات دقیق این حملات در حال حاضر ناشناخته است. بهروزرسانی ماه می، همچنین هشت نقص امنیتی دیگر در سیستم اندروید و ۱۵ نقص در ماژول Framework را برطرف میکند که میتوانند جهت تسهیل ارتقا سطح دسترسی، افشای اطلاعات و منع سرویس مورد سوءاستفاده قرار گیرند.
https://thehackernews.com/2025/05/google-fixes-actively-exploited-android.html
