安全热点周报：谷歌修复了 Android 上被积极利用的 FreeType 漏洞

主要观点总结

本文提供了关于网络安全领域的安全资讯，包括数据泄露、漏洞情报、政策法规等方面的信息。主要涵盖了Elastic Kibana原型污染漏洞、新增在野利用漏洞、安全事件以及政策法规等多个方面。

关键观点总结

关键观点1: Elastic Kibana原型污染漏洞

奇安信CERT监测到官方修复了Elastic Kibana原型污染致任意代码执行漏洞（CVE-2025-25014），该漏洞源于Kibana中机器学习和报告端点的原型污染问题。攻击者可利用该漏洞在受影响的系统上执行任意代码，可能导致数据泄露、系统被完全控制等严重后果。

关键观点2: 新增在野利用漏洞

谷歌发布了针对大量Android安全漏洞的修复程序，包括一个被积极利用的零点击FreeType 2代码执行漏洞（CVE-2025-27363）。该漏洞是由于使用格式错误的字体文件来利用内存处理导致的。当库的易受攻击版本尝试解析与TrueType GX和可变字体文件相关的字体子字形结构时，会触发安全问题。

关键观点3: 安全事件

报道了多个安全事件，包括巴基斯坦军方声称网络攻击已使印度70%电网瘫痪，印度否认；多家企业遭伪造VS Code扩展攻击数据泄露；美国医疗设备上市公司遭网络攻击，生产制造受影响交付被迫延后等。

关键观点4: 政策法规

报道了多起政策法规相关的事件，包括国务院常务会议审议通过《政务数据共享条例（草案）》；中国人民银行发布《中国人民银行业务领域数据安全管理办法》；自然资源部印发《地理信息数据分类分级工作指南（试行）》等。

免责声明