近日,科技新聞網(wǎng)站bleepingcomputer披露了谷歌最新發(fā)布的安全更新詳情,此次更新覆蓋了安卓13、14及15系統(tǒng),總共修復(fù)了45個(gè)安全漏洞,為用戶設(shè)備安全保駕護(hù)航。
在眾多被修復(fù)的漏洞中,CVE-2025-27363尤為引人注目。這是一個(gè)存在于開源字體渲染庫(kù)FreeType中的高危漏洞,具體影響了2.13及更早版本。FreeType在日常應(yīng)用中扮演著重要角色,無(wú)論是網(wǎng)頁(yè)文本顯示還是圖像上的文字添加,都離不開它的支持。
據(jù)Facebook安全團(tuán)隊(duì)透露,該漏洞于2025年3月被發(fā)現(xiàn)。當(dāng)FreeType解析惡意的TrueType GX或變體字體文件時(shí),存在觸發(fā)代碼執(zhí)行的風(fēng)險(xiǎn)。谷歌方面已發(fā)出警告,盡管尚未公開具體的攻擊手段,但該漏洞可能已被某些黑客組織有限且針對(duì)性地利用。
深入分析CVE-2025-27363漏洞,發(fā)現(xiàn)在FreeType 2.13.0及更早版本中,處理字體子字形結(jié)構(gòu)時(shí)會(huì)出現(xiàn)“越界寫入”的錯(cuò)誤。具體而言,系統(tǒng)在將有符號(hào)短值分配給無(wú)符號(hào)長(zhǎng)值時(shí),由于添加了靜態(tài)值導(dǎo)致溢出,最終分配的堆緩沖區(qū)過小,從而引發(fā)了越界寫入,這可能進(jìn)一步導(dǎo)致任意代碼的執(zhí)行。
除了FreeType庫(kù)中的這一重大漏洞外,本次更新還修復(fù)了安卓系統(tǒng)中的其他多個(gè)高危漏洞。這些漏洞分布在framework、System、Google Play服務(wù)以及安卓?jī)?nèi)核等多個(gè)核心組件中,同時(shí)還涉及MediaTek、Qualcomm、Arm和Imagination Technologies等硬件供應(yīng)商的專有組件,主要問題集中在權(quán)限提升方面。
谷歌此次迅速響應(yīng)并全面修復(fù)安全漏洞,無(wú)疑為安卓用戶提供了更為堅(jiān)實(shí)的安全保障。隨著移動(dòng)設(shè)備的普及和互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜,用戶數(shù)據(jù)的安全防護(hù)顯得尤為重要。谷歌的這一系列舉措,無(wú)疑為整個(gè)安卓生態(tài)系統(tǒng)注入了更強(qiáng)的安全基因。
