Android-Update: Google schließt Sicherheitslücken – eine davon aktiv ausgenutzt

Mit dem aktuellen Sicherheitsupdate für Mai hat Google insgesamt 50 Schwachstellen in seinem mobilen Betriebssystem Android geschlossen. Darunter befindet sich eine besonders brisante Sicherheitslücke in der Open-Source-Bibliothek Freetype, die zum Rendern von Textinhalten verwendet wird. Diese Schwachstelle, registriert unter der Kennung CVE-2025-27363, wurde laut Google bereits aktiv für Angriffe ausgenutzt.

Die betroffene Komponente Freetype ist in unterschiedliche Anwendungen integriert, was das potenzielle Risiko zusätzlich erhöht. Die Lücke betrifft alle Versionen bis einschließlich 2.13.0 und ermöglicht eine sogenannte "Out-of-Bounds Write"-Schwachstelle. In der Praxis kann dies zur Ausführung von Schadcode oder zum Absturz von Anwendungen führen. Besorgniserregend ist, dass Angreifer laut Google keine besonderen Rechte auf dem Zielgerät benötigen und auch keine Nutzerinteraktion erforderlich ist.

Auffällig am aktuellen Sicherheitsbulletin: Keine der behobenen Lücken wird als "kritisch" eingestuft. Während im März und April noch mehrere Schwachstellen mit der höchsten Gefahrenstufe beseitigt wurden, weist das Mai-Update ausschließlich Lücken mit hohem, aber nicht kritischem Schweregrad aus. Die Schwachstellen betreffen nicht nur Android selbst, sondern auch Komponenten von Drittanbietern wie Qualcomm, MediaTek, Arm und Imagination Technologies.

Wie üblich liegt die Verantwortung für die Verteilung der Patches bei den jeweiligen Geräteherstellern. Während manche Hersteller die Updates zügig bereitstellen, kann es bei anderen Geräten zu erheblichen Verzögerungen kommen.