Es noticia
NvidiaSP500XRPCardanoXiaomiAppleAMD

Google lanza parches de seguridad para 43 vulnerabilidades de Android, incluyendo dos cero-day utilizados en ataques

TecnologíaMovilidad eléctrica

Google lanza parches de seguridad para 43 vulnerabilidades de Android, incluyendo dos cero-day utilizados en ataques

Google ha abordado 43 vulnerabilidades críticas en Android, incluyendo dos cero-day directamente explotados en ataques dirigidos por autoridades serbias.

Redacción Kippel01
Publicado: 04-03-2025 12:50
Descripción

Google ha lanzado parches para 43 vulnerabilidades en la actualización de seguridad de Android de marzo de 2025, incluyendo dos vulnerabilidades cero-day que fueron explotadas en ataques dirigidos. Autoridades serbias han utilizado una de estas vulnerabilidades, una grave falla de divulgación de información (CVE-2024-50302) en el controlador de dispositivos de interfaz humana del núcleo de Linux, para desbloquear dispositivos confiscados.

Este exploit, desarrollado por la compañía israelí Cellebrite, forma parte de una cadena de exploits que también incluye un cero-day en el USB Video Class (CVE-2024-53104), que fue parcheado el mes pasado, y otro en el controlador de sonido ALSA USB. La cadena fue descubierta por el laboratorio de seguridad de Amnesty International a mediados de 2024 durante un análisis de logs encontrados en un dispositivo desbloqueado por las autoridades serbias.

Un portavoz de Google señaló que la empresa era consciente de estas vulnerabilidades y del riesgo de explotación antes de los informes, y que se desarrollaron soluciones rápidamente. "Los parches fueron compartidos con nuestros socios en un aviso para socios el 18 de enero", añadió.

La segunda vulnerabilidad cero-day corregida este mes (CVE-2024-43093) permite a atacantes locales acceder a directorios sensibles debido a una normalización incorrecta de Unicode, al explotar un bypass en el filtro de ruta de archivo, sin necesidad de privilegios adicionales ni interacción del usuario. Las actualizaciones de seguridad de este mes también abordan 11 vulnerabilidades que podrían permitir a los atacantes ejecutar código de manera remota en dispositivos vulnerables.

Google ha emitido dos conjuntos de parches de seguridad, los niveles de parches de seguridad 2025-03-01 y 2025-03-01, siendo este último una ampliación del primer conjunto y con parches para componentes de terceros de código cerrado y subcomponentes del núcleo, que pueden no aplicar a todos los dispositivos Android. Los dispositivos Google Pixel reciben las actualizaciones de manera inmediata, mientras que otros fabricantes a menudo tardan más en probar y ajustar los parches de seguridad para sus configuraciones de hardware.

Es importante mencionar que, en noviembre, Google parcheó otros dos zero-day de Android (CVE-2024-43047 y CVE-2024-43093), que también fueron etiquetados como explotados en ataques dirigidos limitados. La vulnerabilidad CVE-2024-43047 fue catalogada por primera vez como explotada por Google Project Zero en octubre de 2024, y fue utilizada por el gobierno serbio en ataques de spyware NoviSpy dirigidos a los dispositivos Android de activistas, periodistas y manifestantes.