أطلقت شركة جوجل التحديث الأمني الشهري لنظام أندرويد لشهر مايو 2025، والذي يتضمن إصلاحات لـ46 ثغرة أمنية، من بينها ثغرة حرجة تحمل الرمز CVE-2025-27363 والتي أكدت جوجل أنها تعرضت للاستغلال في بيئات حقيقية.
تفاصيل الثغرة الأمنية الأخطر
الثغرة الأخطر في هذا التحديث هي CVE-2025-27363 والتي تحمل تقييم 8.1 على مقياس CVSS، وتوجد في مكون “النظام” (System). وتكمن خطورتها في أنها تسمح بتنفيذ تعليمات برمجية محليًا دون الحاجة لصلاحيات إضافية أو تفاعل المستخدم.
وتم تحديد مصدر هذه الثغرة في مكتبة FreeType مفتوحة المصدر والخاصة بعرض الخطوط، حيث يمكن استغلالها عند معالجة خطوط TrueType GX والخطوط المتغيرة، مما يؤدي إلى كتابة بيانات خارج الحدود (Out-of-Bounds Write) وتنفيذ تعليمات خبيثة.
جدير بالذكر أن شركة Meta (فيسبوك سابقًا) كانت قد كشفت عن هذه الثغرة في مارس 2025 بعد رصد استغلال محدود لها، وتم إصلاح الخلل في الإصدارات الأحدث من FreeType (ما بعد الإصدار 2.13.0).
تفاصيل إضافية حول التحديث الأمني
تحديث مايو لا يقتصر على ثغرة واحدة، بل يتضمن أيضًا:
- إصلاح 8 ثغرات إضافية في نظام أندرويد
- إصلاح 15 ثغرة في وحدة Framework تتعلق بتصعيد الصلاحيات، كشف المعلومات، وهجمات حجب الخدمة (DoS)
وأكدت جوجل أن التحسينات الأمنية في إصدارات أندرويد الحديثة تجعل من الصعب استغلال العديد من هذه الثغرات، مشجعةً جميع المستخدمين على تحديث أجهزتهم لأحدث إصدار ممكن من النظام.
