Google lanzó el lunes su actualización de seguridad mensual para su sistema operativo Android, que incluía dos vulnerabilidades que, según se informa, han sido explotadas en la naturaleza.
El parche soluciona un total de 107 fallas de seguridad en una variedad de componentes, incluidos marcos, sistemas y kernels, así como componentes de Arm, Imagination Technologies, MediaTek, Qualcomm y Unison.
A continuación se enumeran dos fallas de alta gravedad que han sido explotadas.
CVE-2025-48633: vulnerabilidad de divulgación de información en el marco CVE-2025-48572: vulnerabilidad de elevación de privilegios en el marco
Como es habitual, Google no dio a conocer detalles adicionales sobre la naturaleza del ataque, su explotación, si fue encadenado o utilizado individualmente, ni su escala. No está claro quién está detrás del ataque.
Sin embargo, el gigante tecnológico reconoció en su aviso que hay indicios de que «puede estar sujeto a una explotación limitada y selectiva».
Google también solucionó una vulnerabilidad crítica en el componente del marco (CVE-2025-48631) como parte de la actualización de diciembre de 2025, que podría permitir una denegación de servicio (DoS) remota sin necesidad de privilegios de ejecución adicionales.
El boletín de seguridad de diciembre incluye dos niveles de parche, 2025-12-01 y 2025-12-05, lo que brinda a los fabricantes de dispositivos la flexibilidad de abordar más rápidamente algunas de las mismas vulnerabilidades en todos los dispositivos Android. Se anima a los usuarios a actualizar sus dispositivos al último nivel de parche tan pronto como se publiquen los parches.
Este desarrollo se produce tres meses después de que la compañía enviara un parche para corregir dos fallas actualmente explotadas en el kernel de Linux (CVE-2025-38352, puntuación CVSS: 7.4) y el tiempo de ejecución de Android (CVE-2025-48543, puntuación CVSS: 7.4) que podrían conducir a una escalada de privilegios locales.
Source link
