- Google solucionó más de 100 errores de Android en componentes de sistema, kernel y framework
- Dos días cero (CVE-2025-48633, CVE-2025-48572) se explotan en campañas de vigilancia y software espía
- También se corrigió un error crítico de DoS (CVE-2025-48631); Se ha pedido a los usuarios que actualicen inmediatamente.
A principios de esta semana, Google lanzó una nueva actualización de seguridad para el ecosistema de Android, reparando más de 100 fallas de seguridad diferentes.
Estos errores se encontraron en varios componentes como System, Kernel y Framework y afectaron a diferentes fabricantes, incluidos Arm, MediaTek y Qualcomm.
Estas incluyen dos vulnerabilidades críticas en el Framework de las que aparentemente se está abusando enormemente. Continúan como CVE.2025-48633 y CVE-2025-48572, y se describen como una falla de divulgación de información y una falla de privilegios.
Google no compartió muchos detalles sobre el error, aparte de que afecta a las versiones 13, 14, 15, 16 de Android y “puede ser un exploit limitado y específico”. Sin embargo, según CiberInsiderésta es la frase estándar de Google para “días cero explotados en operaciones de espionaje o campañas de vigilancia patrocinadas por el estado”.
La misma publicación también señala que proveedores comerciales de software espía como NSO Group, Candiru e Intellexa han explotado días cero similares en el pasado.
“Las vulnerabilidades de elevación de privilegios (EoP), como CVE-2025-48572, son particularmente útiles en estos ataques para obtener un acceso más profundo después de una línea de base inicial, mientras que las fallas de divulgación de información, como CVE-2025-48633, a menudo se usan para filtrar memoria sensible del sistema o eludir las protecciones de sandboxing”.
Si bien estos dos son importantes, no son los únicos errores peligrosos de la lista. Google también abordó una vulnerabilidad crítica en Framework, rastreada como CVE-2025-48631, que, si se usa incorrectamente, podría causar una denegación de servicio remota (DoS). Este error no requiere privilegios de ejecución adicionales para poder explotarlo.
La solución se divide en dos niveles (2025-12-01 y 2025-12-05) para permitir a los fabricantes de dispositivos abordar las piezas defectuosas y así avanzar más rápido. Si es usuario de Android y su dispositivo le ha solicitado que instale la actualización, asegúrese de hacerlo lo antes posible.
A principios de este año, Google solucionó dos errores del kernel de Linux que también fueron explotados en la naturaleza: CVE-2025-38352 y CVE-2025-48543.
A través de Noticias de piratas informáticos
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings en forma de video y recibir actualizaciones constantes de nuestra parte WhatsApp también
