Google ha lanzado sus actualizaciones de seguridad mensuales para Android con correcciones para 46 vulnerabilidades, incluida una que podría haber sido explotada. Esta podría llevar a la ejecución de código local sin requerir privilegios de ejecución adicionales. También resuelve otras ocho vulnerabilidades en el sistema Android y 15 en el módulo Framework que podrían usarse para facilitar la escalada de privilegios, la divulgación de información o la denegación de servicio.
Productos afectados
- AOSP versiones 13,14 y 15.
Impacto
La vulnerabilidad que podría haber sido explotada se ha identificado como:
CVE-2025-27363: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites en las versiones 2.13.0 y anteriores de FreeType al intentar analizar estructuras de subglifos de fuentes relacionadas con TrueType GX y archivos de fuentes variables. El código vulnerable asigna un valor de tipo corto con signo a un valor de tipo largo sin signo y, a continuación, añade un valor estático, lo que provoca un bucle y la asignación de un heap buffer demasiado pequeño, escribe entonces hasta 6 enteros de tipo largo con signo fuera de límites en relación con este búfer. Esto podría provocar la ejecución de código arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://source.android.com/docs/security/bulletin/2025-05-01
https://nvd.nist.gov/vuln/detail/CVE-2025-27363