Google lanzó el lunes parches para 124 vulnerabilidades de seguridad que afectaron a su sistema operativo Android hasta junio de 2026. Esto incluye una falla de alta gravedad en un componente del marco que está siendo explotado activamente.
Esta falla de seguridad se rastrea como CVE-2025-48595 (puntuación CVSS: 8,4) y se describe como un caso de escalada de privilegios sin necesidad de interacción del usuario. Esta vulnerabilidad afecta a los dispositivos que ejecutan las versiones 14, 15, 16 y 16 QPR2 de Android (versión trimestral de plataforma 2).
«Un desbordamiento de enteros podría provocar la ejecución de código en múltiples ubicaciones», según la descripción de la vulnerabilidad en CVE.org. «Esto podría conducir a una elevación local de privilegios sin necesidad de privilegios de ejecución adicionales. La explotación no requiere interacción del usuario».
Google reconoció que hay indicios de que CVE-2025-48595 puede estar siendo objeto de una «explotación limitada y específica». Como es habitual, el gigante tecnológico no proporcionó detalles sobre quién podría estar detrás de esta actividad, los objetivos afectados o la escala de dichos esfuerzos.
Dicho esto, los proveedores comerciales de software espía han utilizado fallas similares como arma para atacar a personas de alto perfil como parte de ataques altamente dirigidos.
En otros lugares, se han solucionado una serie de vulnerabilidades en los componentes del sistema, la más grave de las cuales podría permitir la elevación local de privilegios sin requerir privilegios de ejecución adicionales.
Google ha lanzado dos conjuntos de parches: niveles de parches de seguridad 2026-06-01 y 2026-06-05. Este último incluye todas las correcciones del primer conjunto, además de parches para el kernel y componentes del chipset de terceros de Imagination Technologies, MediaTek, Qualcomm y Unisoc.
Source link
