Google lanzó el lunes actualizaciones de seguridad mensuales para el sistema operativo Android, incluidas dos vulnerabilidades que, según dijo, fueron explotadas.
El parche corrige un total de 107 vulnerabilidades en varios componentes, incluido el marco, el sistema, el kernel, así como los de Arm, Imagination Technologies, MediaTek, Qualcomm y Unison.
Las dos fallas graves que se explotaron se enumeran a continuación:
- CVE-2025-48633 – Una vulnerabilidad de divulgación de información en el marco.
- CVE-2025-48572 – Una elevación de la vulnerabilidad de privilegios en el marco.
Como es habitual, Google no ha publicado más detalles sobre la naturaleza de los ataques, cómo fueron explotados, si fueron encadenados o utilizados por separado, o el alcance de estos esfuerzos. No se sabe quién está detrás de los ataques.
Sin embargo, el gigante tecnológico reconoció en su comunicado que hay indicios de que “podrían estar sujetos a una explotación limitada y selectiva”.
Como parte de las actualizaciones de diciembre de 2025, Google también solucionó una vulnerabilidad crítica en el componente Framework (CVE-2025-48631) que podría provocar una denegación de servicio remota (DoS) sin requerir privilegios de ejecución adicionales.
El boletín de seguridad de diciembre incluye dos niveles de parche, 2025-12-01 y 2025-12-05, lo que brinda a los fabricantes de dispositivos la flexibilidad de parchear más rápidamente un subconjunto de vulnerabilidades que son similares en todos los dispositivos Android. Se recomienda a los usuarios que actualicen sus dispositivos al último nivel de parche tan pronto como se publiquen los parches.
El desarrollo se produce tres meses después de que la compañía publicara correcciones para abordar dos vulnerabilidades explotadas activamente en el kernel de Linux (CVE-2025-38352, puntuación CVSS: 7,4) y el tiempo de ejecución de Android (CVE-2025-48543, puntuación CVSS: 7,4) que podrían conducir a una escalada de privilegios locales.
About The Author
