Noticias

Actualización de seguridad de Android - Junio 2025

Fecha de publicación: 

Resumen ejecutivo

Google ha publicado el Boletín de Seguridad de Android correspondiente a junio de 2025, en el que se abordan un total de 34 vulnerabilidades únicas. Las actualizaciones corrigen fallos en componentes clave del sistema operativo, como el Framework, Media Framework, System y las actualizaciones del sistema Google Play. L a vulnerabilidad más crítica permite la escalada local de privilegios sin permisos adicionales, aunque requiere interacción del usuario. Según el análisis realizado, no se han detectado vulnerabilidades que estén siendo explotadas activamente. Google recomienda mantener los dispositivos actualizados para garantizar la protección frente a estas amenazas.

Recursos afectados

  • Framework
  • Media Framework
  • System
  • Google Play system updates
  • Kernel
  • Qualcomm componentes

Análisis técnico

  • CVE-2024-53019: La divulgación de información puede ocurrir al decodificar el paquete RTP con una longitud de encabezado inadecuada para el número de fuentes contribuyentes.
    • CWE-126
    • CVSS: 8.2 (alta)
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-53020: La divulgación de información puede ocurrir al decodificar el paquete RTP con extensión de encabezado inválida desde la red.
    • CWE-126
    • CVSS: 8.2 (alta)
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-53021: La divulgación de información puede ocurrir al procesar el paquete RTCP de despedida desde la red.
    • CWE-126
    • CVSS: 8.2 (alta)
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-53026: Divulgación de información cuando se recibe un paquete RTCP inválido durante una llamada IMS de VoLTE/VoWiFi.
    • CWE-126
    • CVSS: 8.2 (alta)
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2025-21486: Corrupción de memoria durante la llamada de creación de proceso dinámico cuando el cliente solo está pasando la dirección y longitud del binario de shell.
    • CWE-822
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-0819: La vulnerabilidad de Use After Free en el controlador del kernel de GPU Arm Ltd Bifrost, el controlador del kernel de GPU Valhall de Arm Ltd y el controlador del kernel de la arquitectura de GPU de 5ta generación de Arm Ltd permite a un proceso de usuario local no privilegiado realizar operaciones válidas de procesamiento de memoria de GPU para acceder a la memoria ya liberada. Este problema afecta al controlador del kernel de GPU Bifrost: desde r44p0 hasta r49p3, desde r50p0 hasta r51p0; controlador del kernel de GPU Valhall: desde r44p0 hasta r49p3, desde r50p0 hasta r54p0; controlador del kernel de la arquitectura de GPU de 5ta generación de Arm: desde r44p0 hasta r49p3, desde r50p0 hasta r54p0.
    • CWE-416
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-12837: El software instalado y ejecutado como un usuario no privilegiado puede realizar llamadas al sistema GPU incorrectas para corromper la memoria del montón del kernel.
    • CWE-416
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-0478: El software instalado y ejecutado como un usuario no privilegiado puede realizar llamadas de sistema GPU inadecuadas para emitir lecturas y escrituras a páginas de memoria física arbitrarias. En ciertas circunstancias, este exploit podría ser utilizado para corromper páginas de datos no asignadas por el controlador de GPU, sino páginas de memoria en uso por el kernel y controladores que se ejecutan en la plataforma, alterando su comportamiento.
    • CWE-280
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-21424: Corrupción de memoria al llamar concurrentemente a las APIs del controlador NPU.
    • CWE-416
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-53010: La corrupción de memoria puede ocurrir al adjuntar una máquina virtual cuando el sistema operativo de alto nivel (HLOS) mantiene acceso a la máquina virtual.
    • CWE-284
    • CVSS: 7.8 (alta)
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Para prevenir estas y otras vulnerabilidades, se recomienda mantener siempre los sistemas y aplicaciones actualizados a la última versión disponible. Se aconseja instalar la actualización de seguridad lo antes posible, especialmente en dispositivos empresariales o que contengan información sensible.

Referencias adicionales