گوگل بهروزرسانیهای امنیتی ماهانه خود را برای اندروید با رفع ۴۶ نقص امنیتی منتشر کرده است، از جمله آسیبپذیری اجرای کد FreeType2 با قابلیت کلیک صفر با شناسه CVE-2025-27363 (امتیاز CVSS: ۸.۱) که بهطور گسترده اکسپلویت میشود.
آسیبپذیری مذکور با شدت بالا در مؤلفه System که میتواند منجر به اجرای کد محلی بدون نیاز به هیچ امتیاز اجرایی اضافی شود و برای اکسپلویت نیازی به تعامل کاربر نیست. نقص امنیتی CVE-2025-27363 ریشه در کتابخانه رندر فونت متنباز FreeType دارد و به عنوان آسیبپذیری نوشتن خارج از محدوده توصیف شده است که میتواند منجر به اجرای کد دلخواه هنگام تجزیه فایلهای TrueType GX و فونت متغیر شود. این باگ در نسخههای FreeType بالاتر از ۲.۱۳.۰ برطرف شده است. گوگل در بولتن امنیتی خود اذعان کرد: بر اساس شوادهد، CVE-2025-27363 ممکن است تحت سوءاستفاده محدود و هدفمند قرار گرفته باشد و جزئیات دقیق این حملات در حال حاضر ناشناخته است. بهروزرسانی ماه می، همچنین هشت نقص امنیتی دیگر در سیستم اندروید و ۱۵ نقص در ماژول Framework را برطرف میکند که میتوانند جهت تسهیل ارتقا سطح دسترسی، افشای اطلاعات و منع سرویس مورد سوءاستفاده قرار گیرند.
https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/
https://thehackernews.com/2025/05/google-fixes-actively-exploited-android.html
