A atualização de segurança de maio de 2025 para o Android foi lançada pelo Google, corrigindo cerca de 50 vulnerabilidades, incluindo uma falha crítica no mecanismo de renderização de código aberto FreeType. O problema, rastreado como CVE-2025-27363, possui uma pontuação CVSS de 8,1 e afeta a biblioteca FreeType até a versão 2.13.0. A vulnerabilidade é descrita como uma gravação fora dos limites que pode permitir a execução arbitrária de código.
Leia também
Em horas, IA gera exploit usando descrição de CVE
Relatório alerta para riscos da IA na nuvem
A falha foi explorada como um bug de dia zero, sendo identificada inicialmente pela Meta, controladora do Facebook, que alertou sobre a exploração. O Google resolveu o problema com a atualização de segurança de maio, lançada dois meses depois do aviso, pedindo que as organizações atualizassem para a versão 2.13.3 ou posterior do FreeType.
A atualização, que chega aos dispositivos com o patch de segurança nível 2025-05-01, resolve 24 vulnerabilidades críticas, sendo a maioria delas relacionadas à elevação de privilégio. Além disso, a segunda parte da atualização, no patch de segurança 2025-05-05, corrige 22 falhas em componentes da Imagination Technologies, Arm, MediaTek e Qualcomm, além de atualizar a versão LTS do Kernel Linux.
O boletim também aborda quatro defeitos de segurança nos componentes do Project Mainline, corrigidos com atualizações no sistema do Google Play. Dispositivos Android que executam o patch de segurança 2025-05-05 incluem todas as correções de vulnerabilidades deste mês, além das atualizações anteriores.
A atualização de maio também trouxe correções para o Automotive OS, mas sem patches específicos para a plataforma. Além disso, o Wear OS recebeu atualizações que corrigem quatro bugs relacionados à elevação de privilégio ou negação de serviço.
