谷歌5月安卓安全大更新：45个漏洞被堵，FreeType高危漏洞受关注

近日，科技新闻网站bleepingcomputer披露了谷歌最新发布的安全更新详情，此次更新覆盖了安卓13、14及15系统，总共修复了45个安全漏洞，为用户设备安全保驾护航。

在众多被修复的漏洞中，CVE-2025-27363尤为引人注目。这是一个存在于开源字体渲染库FreeType中的高危漏洞，具体影响了2.13及更早版本。FreeType在日常应用中扮演着重要角色，无论是网页文本显示还是图像上的文字添加，都离不开它的支持。

据Facebook安全团队透露，该漏洞于2025年3月被发现。当FreeType解析恶意的TrueType GX或变体字体文件时，存在触发代码执行的风险。谷歌方面已发出警告，尽管尚未公开具体的攻击手段，但该漏洞可能已被某些黑客组织有限且针对性地利用。

深入分析CVE-2025-27363漏洞，发现在FreeType 2.13.0及更早版本中，处理字体子字形结构时会出现“越界写入”的错误。具体而言，系统在将有符号短值分配给无符号长值时，由于添加了静态值导致溢出，最终分配的堆缓冲区过小，从而引发了越界写入，这可能进一步导致任意代码的执行。

除了FreeType库中的这一重大漏洞外，本次更新还修复了安卓系统中的其他多个高危漏洞。这些漏洞分布在framework、System、Google Play服务以及安卓内核等多个核心组件中，同时还涉及MediaTek、Qualcomm、Arm和Imagination Technologies等硬件供应商的专有组件，主要问题集中在权限提升方面。

谷歌此次迅速响应并全面修复安全漏洞，无疑为安卓用户提供了更为坚实的安全保障。随着移动设备的普及和互联网环境的日益复杂，用户数据的安全防护显得尤为重要。谷歌的这一系列举措，无疑为整个安卓生态系统注入了更强的安全基因。