Google je objavio svoje mjesečne sigurnosne nadogradnje za Android, koje uključuju ispravke za 46 sigurnosnih propusta, među kojima je i jedna ranjivost za koju je potvrđeno da je iskorištena u stvarnim napadima.
Ranjivost o kojoj je riječ je CVE-2025-27363 (CVSS ocjena: 8.1), propust visoke težine u komponenti System, koji može omogućiti lokalno izvršavanje koda bez potrebe za dodatnim privilegijama izvršavanja.
„Najozbiljniji među ovim problemima je sigurnosni propust visoke težine u komponenti System, koji može omogućiti lokalno izvršavanje koda bez potrebe za dodatnim privilegijama izvršavanja,“ navedeno je u Googleovom sigurnosnom saopštenju u ponedjeljak. „Za iskorištavanje nije potrebna interakcija korisnika.“
Vrijedi napomenuti da je CVE-2025-27363 povezan s FreeType bibliotekom otvorenog koda za renderiranje fontova. Prvi put ju je otkrio Facebook u martu 2025., uz informaciju da je ranjivost već iskorištavana u stvarnom svijetu.
Propust je opisan kao greška pri pisanju izvan dozvoljenih granica memorije, koja može dovesti do izvršavanja koda prilikom obrade TrueType GX i varijabilnih fontova. Problem je otklonjen u FreeType verzijama iznad 2.13.0.
„Postoje indikacije da se CVE-2025-27363 koristi u ograničenim, ciljanim napadima,“ priznao je Google u svom sigurnosnom biltenu. Tačni detalji napada za sada nisu poznati.
Majska nadogradnja takođe ispravlja još osam drugih propusta u Android System komponenti i 15 propusta u Framework modulu, koji se mogu iskoristiti za eskalaciju privilegija, otkrivanje informacija i uskraćivanje usluga (DoS).
„Iskorištavanje mnogih propusta na Androidu je otežano zahvaljujući unapređenjima u novijim verzijama Android platforme,“ saopštila je kompanija. „Preporučujemo svim korisnicima da ažuriraju na najnoviju verziju Androida gdje god je to moguće.“
Izvor:The Hacker News
