Noticias

Actualización de seguridad mensual de Android - Marzo 2025

Fecha de publicación: 

Google ha publicado el Boletín de Seguridad mensual de Android en marzo de 2025, en el que se identificaron 43 vulnerabilidades únicas distribuidas en dos niveles de parche. En el 2025-03-01 se detectaron 30 vulnerabilidades, incluyendo 10 críticas en el componente System, que permiten la ejecución remota de código sin privilegios, y 20 de alta severidad en Framework y System. En el 2025-03-05 se reportaron 13 vulnerabilidades de alta severidad que afectan al Kernel y a componentes de MediaTek y Qualcomm, con indicios de explotación limitada en algunas (CVE-2024-43093 y CVE-2024-50302). Todas estas vulnerabilidades se corrigen actualizando al nivel de parche 2025-03-05 o superior, con parches disponibles en el repositorio AOSP y habiéndose notificado a los socios de Android con al menos un mes de antelación.

Por otro lado, el Pixel Update Bulletin, publicado el 4 de marzo de 2025, contiene detalles de vulnerabilidades de seguridad y mejoras funcionales específicas para dispositivos Pixel, agrupadas por componente. Destaca una vulnerabilidad crítica en Pixel Modem (CVE-2025-22377), junto con vulnerabilidades de alta severidad en LDFW y Modem, y de severidad moderada en Trusty, Exynos RIL y Pixel Modem. Todos los dispositivos Google soportados recibirán la actualización al nivel de parche 2025-03-05, y los firmware están disponibles en el sitio de Google Developer.

Recursos afectados

  • Framework
  • Media Framework
  • Sistema
  • Google Play
  • Kernel
  • Componentes Mediatek
  • Componentes Qualcomm

Análisis técnico

Los detalles de las vulnerabilidades explotadas son:

  • CVE-2024-43093: En shouldHideDocument de ExternalStorageProvider.java, existe la posibilidad de evadir un filtro de ruta de archivo diseñado para prevenir el acceso a directorios sensibles debido a una normalización Unicode incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Se requiere la interacción del usuario para su explotación.
    • CWE-787
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2024-50302: En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: core: inicializar a cero el búfer de reportes. Dado que el búfer de reportes se utiliza en diversos controladores de varias maneras, inicialicémoslo a cero durante la asignación para asegurarnos de que nunca pueda ser utilizado para filtrar la memoria del kernel mediante reportes especialmente diseñados.
    • CWE-787
    • CVSS: 5.5
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
    • Explotación: Detectada

Los detalles de las vulnerabilidades más relevantes son:

  • CVE-2024-49838: Divulgación de información al analizar el OCI IE con longitud inválida.
    • CWE-126
    • CVSS: 8.2
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-53011: La divulgación de información puede ocurrir debido a permisos y controles de acceso inadecuados al motor de análisis de video.
    • CWE-264
    • CVSS: 7.9
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2024-46852: En el kernel de Linux, se ha resuelto la vulnerabilidad dma-buf:heaps, que corrige el error de off-by-one en el manejador de fallos del heap CMA, hasta que se añadió VM_DONTEXPAND en el commit 1c1914d6e8c6 ("dma-buf: heaps: No rastrear páginas de dma-buf CMA bajo RssFile"), era posible obtener un mapeo mayor que el tamaño del búfer mediante mremap y evadir la comprobación de desbordamiento en dma_buf_mmap_internal. Al utilizar dicho mapeo para intentar provocar una falla más allá del final del búfer, el manejador de fallos del heap CMA también verifica el desplazamiento de fallo contra el tamaño del búfer, pero calcula el límite incorrectamente por 1.
    • CWE-193
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-53014: Puede ocurrir corrupción de memoria durante la validación de puertos y canales en el controlador de audio.
    • CWE-129
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-43093: En shouldHideDocument de ExternalStorageProvider.java, existe la posibilidad de evadir un filtro de rutas de archivos diseñado para prevenir el acceso a directorios sensibles debido a una normalización de Unicode incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Se requiere la interacción del usuario para su explotación.
    • CWE -
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-53024: Puede ocurrir corrupción de memoria en el controlador de pantalla durante el desacoplamiento de un dispositivo.
    • CWE-476
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-49836: Puede ocurrir corrupción de memoria durante la sincronización del pipeline de procesamiento de fotogramas de la cámara.
    • CWE-129
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-53027: Puede ocurrir un DOS transitorio durante el procesamiento del IE de país.
    • CWE-120
    • CVSS: 7.5
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • Mitigación / Solución
  • Para prevenir estas y otras vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizados a la última versión disponible.
  • Referencias adicionales
  • Actualización de seguridad - Android
  • Actualización de seguridad - Pixel