O Google liberou o pacote de segurança de maio de 2025 para o sistema Android, corrigindo um total de 45 vulnerabilidades — entre elas, uma falha crítica no FreeType, biblioteca usada para renderizar fontes, que já vinha sendo ativamente explorada por atacantes.
A falha em questão, catalogada como CVE-2025-27363, trata-se de um bug de execução arbitrária de código com potencial de ataque “clique zero”, ou seja, sem interação do usuário. Ela foi detectada inicialmente por pesquisadores do Facebook em março deste ano.
O que é o FreeType e por que isso importa?
FreeType é uma biblioteca de código aberto amplamente utilizada em sistemas que exibem texto renderizado graficamente, como o Android. Ela permite que os desenvolvedores adicionem texto a imagens ou interfaces de maneira programática. Isso significa que qualquer falha no FreeType representa um risco amplo e profundo, pois afeta funções essenciais do sistema.
A vulnerabilidade atinge todas as versões do FreeType até a 2.13.0, lançada em fevereiro de 2023. Em sua explicação técnica, o Facebook descreve que a falha pode ser explorada ao se analisar arquivos maliciosos do tipo TrueType GX ou fontes variáveis. O problema ocorre quando o código da biblioteca atribui incorretamente um tipo de dado com sinal para um tipo sem sinal, causando uma alocação de buffer incorreta e gravação fora dos limites da memória — cenário propício para execução de código malicioso.
Embora tanto o Google quanto o Facebook tenham evitado divulgar detalhes específicos de como a falha está sendo explorada, há confirmação de que ataques limitados e direcionados já estavam ocorrendo antes do patch.
Outras falhas resolvidas
Além da falha no FreeType, o pacote de maio corrige vulnerabilidades nos seguintes componentes do Android:
- Framework e System: Diversas correções de segurança, muitas relacionadas a elevação de privilégios.
- Google Play System Updates: Reforço em canais de distribuição de atualizações.
- Kernel: Ajustes críticos em partes fundamentais do sistema operacional.
- Drivers e componentes de terceiros: Incluindo falhas em plataformas da MediaTek, Qualcomm, Arm e Imagination Technologies.
Notícias Relacionadas
Assinatura dupla
YouTube testa plano Premium para dois usuários
O YouTube está conduzindo um experimento com um novo modelo de assinatura Premium voltado para duplas de usuários. A proposta busca oferecer uma alternativa mais acessível aos planos atuais, permitindo que duas pessoas compartilhem os benefícios da versão paga da plataforma. YouTube testa plano Premium compartilhado para dois usuários Atualmente em fase de testes na […]
Atualização prática
Configuração do Google TV agora é mais rápida e inteligente
Ao adquirir uma nova smart TV, ninguém quer passar minutos preciosos enfrentando longos menus e configurações. Pensando nisso, o Google está reformulando a experiência inicial do Google TV, tornando o processo mais ágil e amigável, especialmente nos primeiros momentos após o unboxing. Google TV acelera a configuração inicial e melhora a experiência do usuário Integração […]
Todas essas vulnerabilidades foram classificadas como de alta gravidade, com exceção de algumas que afetam apenas dispositivos específicos.
Suporte por versão do Android
As correções se aplicam principalmente às versões Android 13, 14 e 15. Já o Android 12, que teve seu suporte encerrado oficialmente em 31 de março de 2025, não receberá mais atualizações, embora ainda possa estar vulnerável a algumas das falhas recém-descobertas.
Usuários que ainda utilizam Android 12 ou versões anteriores são aconselhados a buscar distribuições alternativas do sistema (como LineageOS) que oferecem suporte contínuo, ou considerar a troca por um aparelho mais recente compatível com os updates oficiais do fabricante.
Como aplicar a atualização
Para garantir a segurança do seu dispositivo Android, siga este caminho no menu:
Configurações > Segurança e privacidade > Sistema e atualizações > Atualização de segurança > Verificar atualizações.
Vale lembrar que o caminho pode variar ligeiramente de acordo com a marca e modelo do seu aparelho.
Conclusão
Com falhas críticas já sendo exploradas por agentes maliciosos, manter o Android atualizado é essencial. O Google continua a reforçar sua política de segurança com patches mensais, mas a responsabilidade final pela aplicação das atualizações continua sendo do usuário.
