近日,科技新聞網站bleepingcomputer披露了谷歌最新發布的安全更新詳情,此次更新覆蓋了安卓13、14及15系統,總共修復了45個安全漏洞,為用戶設備安全保駕護航。
在眾多被修復的漏洞中,CVE-2025-27363尤為引人注目。這是一個存在于開源字體渲染庫FreeType中的高危漏洞,具體影響了2.13及更早版本。FreeType在日常應用中扮演著重要角色,無論是網頁文本顯示還是圖像上的文字添加,都離不開它的支持。
據Facebook安全團隊透露,該漏洞于2025年3月被發現。當FreeType解析惡意的TrueType GX或變體字體文件時,存在觸發代碼執行的風險。谷歌方面已發出警告,盡管尚未公開具體的攻擊手段,但該漏洞可能已被某些黑客組織有限且針對性地利用。
深入分析CVE-2025-27363漏洞,發現在FreeType 2.13.0及更早版本中,處理字體子字形結構時會出現“越界寫入”的錯誤。具體而言,系統在將有符號短值分配給無符號長值時,由于添加了靜態值導致溢出,最終分配的堆緩沖區過小,從而引發了越界寫入,這可能進一步導致任意代碼的執行。
除了FreeType庫中的這一重大漏洞外,本次更新還修復了安卓系統中的其他多個高危漏洞。這些漏洞分布在framework、System、Google Play服務以及安卓內核等多個核心組件中,同時還涉及MediaTek、Qualcomm、Arm和Imagination Technologies等硬件供應商的專有組件,主要問題集中在權限提升方面。
谷歌此次迅速響應并全面修復安全漏洞,無疑為安卓用戶提供了更為堅實的安全保障。隨著移動設備的普及和互聯網環境的日益復雜,用戶數據的安全防護顯得尤為重要。谷歌的這一系列舉措,無疑為整個安卓生態系統注入了更強的安全基因。
