立即更新！Google修复已被攻击者利用的Android高危漏洞（CVE-2025-27363）

原创 道玄安全 道玄网安驿站 2025-05-06 23:02

“
 CVE-2025-27363。”

PS：有内网web自动化需求可以私信

01

—

导语

2025年5月6日，Google在月度安全更新中修复了46个Android系统漏洞，
其中高危漏洞CVE-2025-27363已被证实遭攻击者实际利用
。此漏洞允许攻击者无需用户交互即可执行任意代码，威胁用户设备安全。以下是关键信息与应对指南：

一.漏洞背景：FreeType字体库的致命缺陷

1. 漏洞根源

CVE-2025-27363源于开源字体渲染库
FreeType
，该库广泛用于Android、macOS等系统及游戏引擎中。漏洞出现在处理TrueType GX和可变字体文件时，因代码逻辑错误导致
越界写入
，攻击者可借此执行恶意代码，完全控制设备。

1. 风险等级

CVSS评分为8.1（满分10分），属高风险漏洞。攻击无需用户点击或授权，仅需解析恶意字体文件即可触发，隐蔽性极强。

1. 攻击动态

Facebook安全团队于2025年3月首次披露该漏洞，并指出其已被用于定向攻击。Google在5月更新中确认了攻击活动的存在，但未透露具体攻击细节。

二.影响范围

• 设备范围
  ：所有使用FreeType 2.13.0及以下版本的Android设备（包括Android 12至15版本）均面临风险。

• 高危场景
  ：通过恶意网站、文件或应用植入含漏洞的字体文件，即可触发攻击。

三.修复与应对措施

1. 立即更新系统

Google已发布安全补丁，
Pixel用户可通过系统设置直接更新
，其他品牌设备需等待厂商推送（通常延迟数天至数周）。操作步骤：

1. 进入手机
   设置 → 系统 → 软件更新
   ，检查并安装更新。

2. 若设备已停止官方支持，建议限制未知来源应用安装，避免连接可疑USB设备。

3. 升级FreeType库

开发者需将FreeType升级至
2.13.0以上版本
，并加强代码审查，避免类似逻辑错误。

四.为何此漏洞如此危险？

• 无需用户交互
  ：攻击者无需诱骗用户点击链接或授权，仅需设备解析恶意字体文件。

• 广泛影响面
  ：FreeType库的普及性导致漏洞影响跨操作系统、应用及游戏引擎。

• 定向攻击工具化
  ：结合历史案例（如塞尔维亚当局利用类似漏洞链解锁设备），此类漏洞易被国家级黑客或执法工具滥用。

五.用户安全贴士

1. 定期检查更新
   ：每月安全补丁是防御漏洞的第一道防线。

2. 警惕未知来源文件
   ：尤其是字体文件、PDF或图像等可能嵌入字体的文档。

3. 启用自动更新
   ：确保系统与应用（如浏览器、办公软件）始终处于最新状态。

总结

CVE-2025-27363的修复再次凸显开源组件安全的重要性。在AI与数字化加速的今天，安全更新不仅是技术问题，更是用户隐私与数据资产的“生命线”。立即行动，更新设备，远离风险！

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。