Kritische Android-Sicherheitslücke CVE-2025-27363 wird aktiv ausgenutzt : Google und Facebook warnen: Kritische FreeType-Schwachstelle in Android wird bereits für Angriffe genutzt – sofortiges Update empfohlen.

Die mit dem Mai-Update von Google geschlossene Sicherheitslücke mit der Kennung CVE-2025-27363 (CVSS-Score: 8,1) betrifft eine Komponente des Android-Systems und wird von Google als besonders schwerwiegend eingestuft. Sie ermöglicht lokale Codeausführung, ohne dass der Angreifer über besondere Rechte verfügen oder mit dem Nutzer interagieren muss – ein idealer Einstiegspunkt für gezielte Angriffe.

Die Schwachstelle ist auf einen „Out-of-Bounds Write“-Fehler in der Open-Source-Bibliothek FreeType zurückzuführen, die für das Rendern von Schriftarten zuständig ist. Beim Verarbeiten bestimmter TrueType-GX- und variabler Schriftdateien kann es durch diesen Fehler zur Ausführung von Schadcode kommen. FreeType hat das Problem in Versionen ab 2.13.1 behoben.

Brisant: Die Lücke wurde bereits im März 2025 von Facebook entdeckt und als „in freier Wildbahn ausgenutzt“ gemeldet. Google selbst weist in seinem Sicherheitshinweis darauf hin, dass es Anzeichen für gezielte Angriffe gibt – Details dazu wurden bislang jedoch nicht veröffentlicht.

Im Mai-Update hat Google zudem acht weitere Sicherheitslücken in der Systemkomponente und 15 Schwachstellen im Framework-Modul geschlossen. Diese könnten unter anderem zur Rechteausweitung, Datenexfiltration oder Dienstverweigerung (DoS) führen.

Google betont, dass viele dieser Angriffe durch Sicherheitsverbesserungen in neueren Android-Versionen nicht mehr so ohne weiteres möglich sind. Nutzer sollten daher schnellstmöglich auf die neueste Android-Version für ihr Gerät aktualisieren.

Die US-Cybersicherheitsbehörde CISA hat am 6. Mai 2025 die Schwachstelle CVE-2025-27363 in ihren Katalog bekannter aktiv ausgenutzter Schwachstellen (KEV) aufgenommen. Für US-Behörden ist das Einspielen der Patches bis spätestens 27. Mai 2025 verpflichtend.