Google vừa phát hành bản cập nhật bảo mật tháng 5 năm 2025 cho Android. Với bản tin bảo mật mới này, gã khổng lồ Mountain View đã khắc phục 46 lỗ hổng đã xác định trong hệ điều hành. Tháng trước, Google đã phát hiện và vá hơn 60 lỗ hổng trong mã hệ điều hành.
Trong số các lỗ hổng được xác định vào tháng 5 có một lỗ hổng nghiêm trọng trong thư viện nguồn mở FreeType, được sử dụng để hiển thị phông chữ. Đây là sự cố ghi ngoài giới hạn, một loại lỗi mà chương trình ghi dữ liệu bên ngoài vùng bộ nhớ được phân bổ. Lỗi này là kết quả của việc xử lý không đúng loại dữ liệu.
Tệ hơn nữa, lỗ hổng này đã bị tội phạm mạng khai thác trong các cuộc tấn công. Vì lý do bảo mật, Google không nêu chi tiết về các cuộc tấn công mạng dựa trên lỗ hổng bảo mật này. Lưu ý rằng các cuộc tấn công mạng đã được Meta ghi nhận vào tháng 3 năm 2025. Sự cố đã được khắc phục trong các phiên bản mới nhất của FreeType. Việc còn lại là chờ mọi người thực hiện bản sửa lỗi này. Tương tự như Android, một số bản phân phối Linux như Ubuntu, Debian và Fedora cũng đã tích hợp các bản vá cho lỗ hổng bảo mật này.
Một nghiên cứu học thuật năm 2021 cho thấy thời gian trung bình giữa lúc Google phát hành bản vá và thời điểm phân phối bản vá tới người dùng là khoảng 24 ngày, với sự thay đổi đáng kể tùy thuộc vào nhà sản xuất. Để tìm hiểu xem bản vá đã có sẵn trên điện thoại thông minh của bạn hay chưa, hãy vào Cài đặt > Giới thiệu về thiết bị > Cập nhật phần mềm.
Nguồn: Google
Trong số các lỗ hổng được xác định vào tháng 5 có một lỗ hổng nghiêm trọng trong thư viện nguồn mở FreeType, được sử dụng để hiển thị phông chữ. Đây là sự cố ghi ngoài giới hạn, một loại lỗi mà chương trình ghi dữ liệu bên ngoài vùng bộ nhớ được phân bổ. Lỗi này là kết quả của việc xử lý không đúng loại dữ liệu.
Một lỗ hổng nghiêm trọng bị tin tặc khai thác
Bằng cách khai thác lỗ hổng này, tội phạm mạng có thể đưa và thực thi mã độc vào hệ thống bị ảnh hưởng mà không cần cấp quyền cao hơn. Hơn nữa, một cuộc tấn công có thể diễn ra mà không cần bất kỳ tương tác nào từ người dùng điện thoại thông minh. Người dùng không cần phải nhấp chuột hoặc tương tác với bất cứ thứ gì. Trên thực tế, chỉ cần xử lý một phông chữ độc hại cũng đủ để kích hoạt lỗ hổng. Đây là lý do tại sao lỗ hổng này đặc biệt đáng lo ngại.Tệ hơn nữa, lỗ hổng này đã bị tội phạm mạng khai thác trong các cuộc tấn công. Vì lý do bảo mật, Google không nêu chi tiết về các cuộc tấn công mạng dựa trên lỗ hổng bảo mật này. Lưu ý rằng các cuộc tấn công mạng đã được Meta ghi nhận vào tháng 3 năm 2025. Sự cố đã được khắc phục trong các phiên bản mới nhất của FreeType. Việc còn lại là chờ mọi người thực hiện bản sửa lỗi này. Tương tự như Android, một số bản phân phối Linux như Ubuntu, Debian và Fedora cũng đã tích hợp các bản vá cho lỗ hổng bảo mật này.
Cài đặt bản cập nhật Android càng sớm càng tốt
Không có gì ngạc nhiên khi Google khuyến cáo tất cả người dùng điện thoại thông minh Android cài đặt bản cập nhật càng sớm càng tốt. Cho đến nay, bản cập nhật vừa mới có trên Pixel. Để đảm bảo an toàn cho mọi điện thoại thông minh Android, các nhà sản xuất phải tích hợp các bản vá bảo mật vào giao diện tùy chỉnh của họ. Trên thực tế, Google cung cấp các bản cập nhật bảo mật, nhưng các nhà sản xuất, như Samsung hoặc Xiaomi, mới là những người phải điều chỉnh chúng cho phù hợp với thiết bị của mình.Một nghiên cứu học thuật năm 2021 cho thấy thời gian trung bình giữa lúc Google phát hành bản vá và thời điểm phân phối bản vá tới người dùng là khoảng 24 ngày, với sự thay đổi đáng kể tùy thuộc vào nhà sản xuất. Để tìm hiểu xem bản vá đã có sẵn trên điện thoại thông minh của bạn hay chưa, hãy vào Cài đặt > Giới thiệu về thiết bị > Cập nhật phần mềm.
Nguồn: Google