Es noticia
NvidiaBlack Mirror 7XRPCardanoXiaomiAppleAMD

Google lanza parches para 62 vulnerabilidades de Android, incluyendo dos día cero explotadas en ataques

TecnologíaAndroid

Google lanza parches para 62 vulnerabilidades de Android, incluyendo dos día cero explotadas en ataques

Google ha emitido actualizaciones críticas para Android, abordando 62 vulnerabilidades, incluidas dos de día cero empleadas en ataques específicos.

Redacción Kippel01
Publicado: 07-04-2025 19:57
Descripción

Google ha lanzado parches para 62 vulnerabilidades en la actualización de seguridad de abril de 2025 de Android, incluidas dos vulnerabilidades de día cero que fueron explotadas en ataques dirigidos. La primera, una vulnerabilidad de escalada de privilegios de alta gravedad (CVE-2024-53197) que afecta al controlador USB-audio del núcleo de Linux, fue supuestamente utilizada por autoridades serbias para desbloquear dispositivos Android confiscados. Este exploit forma parte de una cadena de explotación desarrollada por la empresa israelí de forense digital Cellebrite y fue descubierta por el Laboratorio de Seguridad de Amnistía Internacional en 2024.

Google compartió las correcciones con sus socios de OEM en enero de 2025, antes de que los informes públicos sobre las vulnerabilidades se difundieran. Un portavoz de Google declaró que la empresa ya era consciente de estas vulnerabilidades y del riesgo de explotación antes de los informes, por lo que rápidamente desarrollaron las soluciones para Android. La segunda vulnerabilidad de día cero que fue corregida (CVE-2024-53150) es una vulnerabilidad de divulgación de información en el núcleo de Android, provocada por una debilidad de lectura fuera de límites que permite a atacantes locales acceder a información sensible sin necesidad de interacción del usuario.

Además de las dos vulnerabilidades de día cero, los actualizaciones de seguridad de marzo de 2025 corrigen otras 60 vulnerabilidades de seguridad, la mayoría de las cuales implican fallas de escalada de privilegios de alta gravedad. Google emitió dos conjuntos de parches de seguridad, los niveles de parche de seguridad 2025-04-01 y 2025-04-05. Este último incluye todas las correcciones del primer lote y parches de seguridad para componentes de terceros cerrados y subcomponentes del núcleo, que pueden no ser aplicables a todos los dispositivos Android.

Los dispositivos Google Pixel reciben estas actualizaciones de seguridad de manera inmediata, mientras que otros fabricantes suelen tardar más en probar y ajustar los parches de seguridad a sus configuraciones de hardware específicas. En noviembre de 2024, Google también corrigió otro día cero de Android (CVE-2024-43047), que fue señalado como explotado por Google Project Zero en octubre de 2024 y utilizado por el gobierno serbio en ataques de spyware NoviSpy contra dispositivos Android pertenecientes a activistas, periodistas y manifestantes.