Noticias

Actualización de seguridad de Android - Mayo 2025

Fecha de publicación: 

Resumen ejecutivo

Google ha publicado las actualizaciones de seguridad de Android del mes de mayo de 2025. En este boletín se han abordado un total de 46 todas de severidad alta, y donde destaca la CVE-2025-27363 de la que hay indicios de que puede estar bajo explotación limitada y dirigida. Del total, 20 son vulnerabilidades de tipo escalada de privilegios (EoP), distribuidas entre los componentes Framework y System. Además, se han identificado 1 vulnerabilidad de ejecución remota de código (RCE), 2 de divulgación de información (ID) y 1 de denegación de servicio (DoS).

Recursos afectados

  • Framework
  • Media Framework
  • Sistema
  • Actualizaciones del sistema de Google Play
  • Kernel LTS
  • Componentes de Qualcomm
  • Tecnologías Imagination
  • Componentes de ARM
  • Componentes de Mediatek

Análisis técnico

Los detalles de las vulnerabilidades explotadas son:

  • CVE-2025-27363: Existe una escritura fuera de límites en las versiones 2.13.0 y anteriores de FreeType (las versiones más recientes de FreeType no son vulnerables) al intentar analizar las estructuras de subglifos de fuentes relacionadas con TrueType GX y archivos de fuentes variables. El código vulnerable asigna un valor short firmado a un valor long sin signo y luego agrega un valor estático que hace que se envuelva y asigne un búfer de montón demasiado pequeño. Luego, el código escribe hasta 6 enteros long firmados fuera de límites en relación con este búfer. Esto puede resultar en la ejecución de código arbitrario. Esta vulnerabilidad puede haber sido explotada en la naturaleza.
    • CWE-787
    • CVSS: 8.1
    • Vector de ataque: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: Detectada

Los detalles de las vulnerabilidades más relevantes son:

  • CVE-2024-49846: Corrupción de memoria durante la decodificación de mensajes OTA del IE T3448.
    • CWE-126
    • CVSS: 8.2
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-46975: El software del kernel instalado y en ejecución dentro de una máquina virtual huésped puede aprovechar la memoria compartida con el firmware de la GPU para escribir datos en la memoria de la GPU virtualizada de otra máquina virtual huésped.
    • CWE-270
    • CVSS: 7.9
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2024-45580: Corrupción de memoria al manejar múltiples llamadas IOCTL desde el espacio de usuario para invocación remota.
    • CWE-416
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-21467: Corrupción de memoria al leer la respuesta del FW desde la cola compartida.
    • CWE-787
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-46974: El software instalado y ejecutado como un usuario no privilegiado puede llevar a cabo operaciones de lectura/escritura inadecuadas en los búferes DMA importados/exportados.
    • CWE-266
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-21468: Corrupción de memoria al leer la respuesta del FW, cuando el tamaño del búfer es modificado por el FW mientras el controlador está utilizando este tamaño para escribir el carácter nulo al final del búfer.
    • CWE-787
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-47900: El software instalado y ejecutado como un usuario no privilegiado puede realizar llamadas de sistema GPU inadecuadas para acceder a la memoria del kernel fuera de los límites (OOB).
    • CWE-823
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-52939: El software del kernel instalado y en ejecución dentro de una máquina virtual de invitado puede enviar comandos inapropiados al firmware de la GPU para provocar la escritura de datos fuera de la memoria de la GPU virtualizada del invitado.
    • CWE-823
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-49845: Corrupción de memoria durante el proceso de generación de FRS UDS.
    • CWE-20
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Para prevenir estas y otras vulnerabilidades, se recomienda mantener siempre los sistemas y aplicaciones actualizados a la última versión disponible. Se aconseja instalar la actualización de seguridad lo antes posible, especialmente en dispositivos empresariales o que contengan información sensible.

Referencias adicionales