Dans le cadre de ses mises à jour de sécurité de mai 2025 à destination d'Android, Google corrige une quarantaine de vulnérabilités.
« Le problème le plus grave est une vulnérabilité de sécurité importante dans le composant système, susceptible d'entraîner l'exécution de code local sans privilèges d'exécution supplémentaires. L'exploitation de la vulnérabilité ne nécessite aucune interaction de l'utilisateur. »
Il est surtout signalé une vulnérabilité de sécurité faisant l'objet d'une exploitation active dans des attaques, même si cette exploitation est qualifiée de limitée et ciblée.
En lien avec FreeType
La vulnérabilité CVE-2025-27363 est en rapport avec la bibliothèque open source FreeType connue pour son utilisation dans le rendu des polices de caractères. La faille avait été découverte en mars dernier par des chercheurs en sécurité de Facebook.
L'avis de sécurité de Facebook détaille une vulnérabilité d'écriture hors limites dans les versions 2.13.0 et antérieures de FreeType, sachant que les versions plus récentes ne sont pas vulnérables. La faille peut être exploitée lors de l'analyse de certaines polices complexes, notamment TrueType GX.
Une conséquence soulignée est une exécution de code arbitraire. Par contre, les détails d'une exploitation dans des attaques restent pour le moment mystérieux.
La cyberdéfense sur le qui-vive
L'agence des États-Unis pour la cyberdéfense et la sécurité des infrastructures sonne l'alerte. Elle indique que de telles vulnérabilités sont des vecteurs d'attaque fréquents d'acteurs malveillants et présentent des risques importants.
« De multiples vulnérabilités ont été découvertes dans Google Android. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données. Google indique que la vulnérabilité CVE-2025-27363 est activement exploitée », écrit de son côté un avis du CERT-FR.
