HackerNews 编译,转载请注明出处:
谷歌近日修复了46个Android安全漏洞,其中包括一个已被在野利用的高危漏洞(追踪编号CVE-2025-27363,CVSS评分8.1)。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。
该漏洞存在于系统组件中,成功利用可导致本地代码执行。2025年5月安卓安全公告指出:“最严重的问题是系统组件中的高危漏洞,攻击者无需额外权限即可执行本地代码,且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。”
今年3月中旬,Meta曾警告称FreeType库中的越界写入漏洞(同样追踪为CVE-2025-27363)可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本,具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量,叠加静态值后引发数值回绕,导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据,最终可能实现任意代码执行。”Meta公告称,同样未披露攻击细节、攻击者身份或攻击规模。
安全专家警告,多个Linux发行版仍在使用存在漏洞的旧版FreeType库,面临被攻击风险。谷歌在公告中强调:“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度,建议所有用户尽可能升级至最新系统版本。”
消息来源: securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
