Google telah merilis pembaruan keamanan bulanan untuk Android dengan perbaikan untuk 46 kelemahan keamanan, termasuk satu kerentanan yang katanya telah dieksploitasi di alam liar.
Kerentanan yang dimaksud adalah CVE-2025-27363 (skor CVSS: 8.1), cacat tingkat tinggi dalam komponen sistem yang dapat menyebabkan eksekusi kode lokal tanpa memerlukan hak eksekusi tambahan.
“Yang paling parah dari masalah ini adalah kerentanan keamanan yang tinggi dalam komponen sistem yang dapat menyebabkan eksekusi kode lokal tanpa ada hak eksekusi tambahan yang diperlukan,” kata Google dalam penasihat Senin. “Interaksi pengguna tidak diperlukan untuk eksploitasi.”
Perlu dicatat bahwa CVE-2025-27363 berakar di freetype open-source font rendering library. Ini pertama kali diungkapkan oleh Facebook pada Maret 2025 sebagai telah dieksploitasi di alam liar.
Kekurangan telah digambarkan sebagai cacat menulis yang tidak terikat yang dapat mengakibatkan eksekusi kode ketika parsing truetype gx dan file font variabel. Masalah ini telah diatasi dalam versi freetype lebih tinggi dari 2.13.0.
“Ada indikasi bahwa CVE-2025-27363 mungkin berada di bawah eksploitasi yang terbatas dan ditargetkan,” Google mengakui dalam buletin keamanannya. Spesifik yang tepat dari serangan saat ini tidak diketahui.
Google dapat memperbarui juga menyelesaikan delapan kekurangan lainnya dalam sistem Android dan 15 kekurangan dalam modul kerangka kerja yang dapat disalahgunakan untuk memfasilitasi eskalasi hak istimewa, pengungkapan informasi dan penolakan layanan.
“Eksploitasi untuk banyak masalah di Android menjadi lebih sulit dengan peningkatan dalam versi yang lebih baru dari platform Android,” kata perusahaan itu. “Kami mendorong semua pengguna untuk memperbarui ke Android versi terbaru jika memungkinkan.”
