谷歌发布5月安卓安全更新 FreeType高危漏洞或已被利用
2025-05-07 16:47:57 |
|
1276
5月7日,谷歌正式推送5月安卓安全更新,覆盖Android 13、14及15版本,共计修复45个安全漏洞。其中,编号为CVE-2025-27363的高危漏洞尤为值得关注,该漏洞存在于开源字体渲染库FreeType中,可能已被黑客有限利用。
此次修复的最严重漏洞涉及FreeType 2.13.0及更早版本,该库广泛用于安卓系统的文本渲染和图像文字叠加。据Facebook安全团队报告,攻击者可通过精心构造的TrueType GX或变体字体文件触发漏洞,导致越界写入,最终可能实现任意代码执行。
在解析字体子字形结构时,FreeType错误地将有符号短值赋给无符号长值,并叠加静态值导致溢出。该问题导致分配的堆缓冲区过小,引发越界写入,可能被利用执行恶意代码。谷歌警告称,该漏洞可能已被针对性利用,但未透露具体攻击案例。
除FreeType外,本次更新还修复了多个高危漏洞,Framework & System:权限提升漏洞,可被恶意应用滥用获取更高系统权限。Google Play服务:安全补丁,防止潜在的数据泄露或应用劫持。内核及芯片厂商组件:包括MediaTek、高通(Qualcomm)、Arm和Imagination Technologies的驱动级漏洞,主要涉及内存损坏和权限绕过问题。
特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字、图片等内容的真实性、完整性、及时性本站不作任何保证或承诺,请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时发送相关信息至bireading@163.com,本站将会在48小时内处理完毕。
