Googleは、野外で悪用されているとされる1つの脆弱性を含む46のセキュリティ欠陥を修正した、Android向けの月次セキュリティアップデートをリリースしました。
問題の脆弱性はCVE-2025-27363(CVSSスコア: 8.1)で、追加の実行権限を必要とせずにローカルコードの実行を引き起こす可能性のあるシステムコンポーネントの高危険度の欠陥です。
「これらの問題の中で最も深刻なのは、追加の実行権限を必要とせずにローカルコードの実行を引き起こす可能性のあるシステムコンポーネントの高セキュリティ脆弱性です」とGoogleは月曜日のアドバイザリで述べました。「悪用にはユーザーの操作は必要ありません。」
CVE-2025-27363は、FreeTypeオープンソースフォントレンダリングライブラリに根ざしていることに注意が必要です。これは2025年3月にFacebookによって野外で悪用されていると初めて公開されました。
この欠陥は、TrueType GXおよび可変フォントファイルを解析する際にコード実行を引き起こす可能性のある範囲外書き込みの欠陥として説明されています。この問題はFreeTypeバージョン2.13.0より高いバージョンで修正されています。
「CVE-2025-27363が限定的かつターゲットを絞った形で悪用されている可能性があるという兆候があります」とGoogleはセキュリティ速報で認めました。攻撃の具体的な詳細は現在不明です。
Googleの5月のアップデートは、Androidシステムの他の8つの欠陥と、特権昇格、情報漏洩、サービス拒否を促進するために悪用される可能性のあるフレームワークモジュールの15の欠陥も解決します。
「Android上の多くの問題の悪用は、Androidプラットフォームの新しいバージョンでの強化により、より困難になっています」と同社は述べました。「可能な限り最新のAndroidバージョンに更新することをすべてのユーザーに推奨します。」