miércoles, 3 de junio de 2026

Google soluciona 124 fallos de Android, incluido un zero-day explotado activamente

Google lanzó los parches de seguridad de Android de junio de 2026 para corregir 124 vulnerabilidades, incluyendo 18 críticas. Destaca un fallo de "día cero" (CVE-2025-48595) que ya está siendo explotado en ataques dirigidos para escalar privilegios en dispositivos con Android 14 o superior. La empresa insta a todos los usuarios a actualizar sus dispositivos lo antes posible para mitigar estos riesgos.





Google ha publicado los parches de seguridad de Android de junio de 2026 para abordar 124 vulnerabilidades, incluida una falla de día cero explotada en ataques dirigidos.

Los atacantes locales pueden explotar la vulnerabilidad del Framework de Android de alta gravedad (rastreada como CVE-2025-48595), que está siendo abusada activamente, para lograr la ejecución de código y elevar privilegios en dispositivos que ejecuten Android 14 o posterior.

"Hay indicios de que la CVE-2025-48595 puede estar bajo una explotación limitada y dirigida", afirmó la compañía el lunes en su Boletín de Seguridad de Android de marzo de 2025.


"La explotación de muchos problemas en Android se ve dificultada por las mejoras en las versiones más recientes de la plataforma Android. Animamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible".

Aunque Google aún no ha compartido detalles técnicos sobre la falla ni ha proporcionado más información sobre los ataques en curso que la utilizan, fallas similares han sido explotadas en el pasado por software espía comercial y por operaciones de estados-nación dirigidas a personas de alto perfil o gran interés.

Con las actualizaciones de seguridad de Android de este mes, Google ha corregido 18 vulnerabilidades críticas en los componentes de Sistema, Framework y componentes de código cerrado de Qualcomm que los atacantes pueden abusar para provocar condiciones de denegación de servicio y elevar privilegios en dispositivos Android no parcheados.

"El problema más grave de estos es una vulnerabilidad de seguridad crítica en el componente Framework que podría conducir a una elevación remota de privilegios sin necesidad de privilegios de ejecución adicionales. No se requiere interacción del usuario para la explotación", añadió Google.

El lunes, Google emitió dos conjuntos de parches: los niveles de parche de seguridad 2026-06-01 y 2026-06-05, siendo este último un paquete que incluye todas las correcciones del primer lote, junto con parches para subcomponentes del kernel y de terceros de código cerrado que pueden no aplicarse a todos los dispositivos Android.

Mientras que los dispositivos Google Pixel recibirán estas actualizaciones de seguridad de inmediato, otros fabricantes a menudo tardarán más en probarlas y ajustarlas para configuraciones de hardware específicas.

Un portavoz de Google no estuvo disponible inmediatamente para hacer comentarios cuando BleepingComputer solicitó más detalles sobre los ataques de la CVE-2025-48595 y sus objetivos.

Google lanzó parches para otros dos días cero de alta gravedad (CVE-2025-48633 y CVE-2025-48572) en diciembre, y para otra falla de día cero en un componente de pantalla de Qualcomm (CVE-2026-21385) en marzo, todos ellos etiquetados como "bajo explotación limitada y dirigida".

El mes pasado, Google también renovó sus programas de recompensas por vulnerabilidades de Android y Chrome, ofreciendo recompensas de hasta 1,5 millones de dólares por algunos exploits de Android, mientras reducía los pagos por fallas que son más fáciles de encontrar utilizando inteligencia artificial (IA).

Fuente:
BleepingComputer

1 comentario:

  1. Claro, entiendo, la situación , tengo dos años , con este problema, e incluso, siempre aparece, una cámara todo el día y todos los días, y manipula el teléfono gracias

    ResponderEliminar