گوگل بهروزرسانی امنیتی ماه می را برای اندروید منتشر کرده که شامل رفع ۴۶ آسیبپذیری امنیتی است. یکی از این آسیبپذیریها با شناسه CVE-2025-27363 (با امتیاز CVSS برابر 8.1) اعلام شده که گمان میرود بهطور فعال توسط مهاجمان در فضای واقعی مورد سوءاستفاده قرار گرفته است.
جزئیات آسیبپذیری CVE-2025-27363
این نقص امنیتی از نوع شدید در مؤلفه System اندروید قرار دارد و میتواند بدون نیاز به هیچگونه مجوز اضافی، منجر به اجرای کد مخرب بهصورت محلی شود. همچنین سوءاستفاده از این آسیبپذیری نیازی به تعامل کاربر ندارد.
بررسیها نشان میدهد ریشه آسیبپذیری CVE-2025-27363 در کتابخانه متنباز FreeType (کتابخانه رندرینگ فونت) قرار دارد. این نقص به دلیل نوشتن خارج از محدوده (out-of-bounds) هنگام تجزیه فایلهای فونت TrueType GX و متغیر ایجاد شده و در نسخههای FreeType بالاتر از ۲.۱۳.۰ برطرف شده است.
فیسبوک نخستین بار در مارس ۲۰۲۵ این آسیبپذیری را بهعنوان نقصی که مورد سوءاستفاده قرار گرفته شناسایی کرده بود. گوگل نیز در بولتن امنیتی خود اشاره کرد که نشانههایی مبنی بر اینکه CVE-2025-27363 ممکن است هدف سوءاستفادههای محدود و هدفمند قرار گرفته باشد، وجود دارد؛ اما جزئیات دقیق این حملات هنوز منتشر نشده است.
سایر آسیبپذیریها
در بهروزرسانی ماه می، گوگل همچنین ۸ آسیبپذیری دیگر را در مؤلفه System اندروید و ۱۵ نقص امنیتی را در مؤلفه Framework اصلاح کرده که ممکن است منجر به افزایش سطح دسترسی، افشای اطلاعات یا حملات انکار سرویس (DoS) شوند.
گوگل تاکید کرده است که قابلیت سوءاستفاده از بسیاری از این آسیبپذیریها در نسخههای جدیدتر اندروید دشوارتر شده و به همین دلیل از همه کاربران خواسته است، دستگاههای خود را به آخرین نسخه اندروید بهروزرسانی کنند.
