Google tiene liberado Su boletín mensual de seguridad de Android para marzo de 2025 para abordar un total de 44 vulnerabilidades, incluidas dos que, según él, han sido de explotación activa en la naturaleza.
Las dos vulnerabilidades de alta severidad se enumeran a continuación –
- CVE-2024-43093 – Un defecto de escalada de privilegios en el componente Framework que podría dar lugar a un acceso no autorizado a “Android/Datos”, “Android/OBB” y directorios “Android/Sandbox”, y sus respectivos subdirectorios.
- CVE-2024-50302 – Un defecto de escalada de privilegios en el componente HID USB del núcleo de Linux que podría conducir a una fuga de memoria del núcleo no inicializada a un atacante local a través de informes HID especialmente elaborados.
Vale la pena señalar que CVE-2024-43093 fue marcado previamente por Google en su aviso de seguridad para noviembre de 2024 como explotado activamente en la naturaleza. No está claro qué llevó al gigante tecnológico a emitir la alerta por segunda vez.
Hacker News se ha comunicado con Google para hacer más comentarios, y actualizaremos la historia si recibimos noticias.
CVE-2024-50302, por otro lado, es una de las tres vulnerabilidades que fueron encadenadas en un exploit de día cero ideado por Cellebrite para entrar en el teléfono Android de un activista juvenil serbio en diciembre de 2024.
El exploit implicó el uso de CVE-2024-53104, CVE-2024-53197 y CVE-2024-50302 para obtener privilegios elevados y probablemente implementar un Spyware Android denominado Novispy.
Las tres vulnerabilidades residen en el núcleo de Linux y fueron parcheados a fines del año pasado. CVE-2024-53104 fue abordado por Google en Android el mes pasado.
En su aviso, Google reconoció que tanto CVE-2024-43093 como CVE-2024-50302 han sido “de explotación limitada y dirigida”.
La compañía con sede en Mountain View ha lanzado dos niveles de parche de seguridad, 2025-03-01 y 2025-03-05, para dar flexibilidad a los socios de Android para abordar una parte de las vulnerabilidades que son similares en todos los dispositivos Android más rápidamente.
About the Author
