谷歌修复了已被积极利用的Android漏洞CVE-2025-27363

谷歌在五月份Android安全更新中修复了46个漏洞，其中包含一个已被野外利用的高危漏洞（CVE-2025-27363，CVSS评分8.1）。该公司未透露攻击细节或利用该漏洞的威胁行为者信息。

该漏洞存在于系统组件中，成功利用可导致本地代码执行。2025年5月Android安全公告指出："最严重的问题是系统组件中的高危漏洞，无需额外执行权限即可实现本地代码执行，且利用过程无需用户交互。有迹象表明CVE-2025-27363可能正遭受有限的针对性利用。"

三月中旬，Meta曾警告FreeType库中编号为CVE-2025-27363的越界写入漏洞可能已被积极利用。其公告称："FreeType 2.13.0及更早版本在解析TrueType GX和可变字体文件的子字形结构时存在越界写入漏洞。漏洞代码将带符号短整型赋值给无符号长整型后叠加静态值，导致堆缓冲区分配过小，随后可越界写入最多6个带符号长整型数据，可能造成任意代码执行。"Meta未披露利用该漏洞的具体攻击细节、攻击者信息或攻击规模。

该漏洞不影响FreeType 2.13.0之后版本。专家警告称，多个Linux发行版仍在使用存在漏洞的旧版库文件。

谷歌公告最后强调："新版Android平台的增强功能大幅提高了漏洞利用难度，我们建议所有用户尽可能升级至最新版本。"