Google ha publicado parches para 62 vulnerabilidades, dos de las cuales, según afirma, han sido explotadas activamente.
Las dos vulnerabilidades de alta gravedad se enumeran a continuación:
-
CVE-2024-53150
(puntuación CVSS: 7,8): Una falla fuera de límites en el subcomponente USB
del kernel que podría provocar la divulgación de información. -
CVE-2024-53197
(puntuación CVSS: 7,8): Una falla de escalada de privilegios en el
subcomponente USB del kernel.
«El más grave de estos problemas es una vulnerabilidad de seguridad crítica
en el componente del sistema que podría provocar una escalamiento remota de
privilegios sin necesidad de privilegios de ejecución adicionales», declaró Google en su boletín mensual de seguridad de abril de 2025.
«No se requiere la interacción del usuario para su explotación».
El gigante tecnológico también reconoció que ambas deficiencias podrían haber
sido objeto de una «explotación limitada y dirigida».
Cabe destacar que la vulnerabilidad CVE-2024-53197 está arraigada en el kernel
de Linux y fue parcheada el año pasado, junto con las vulnerabilidades
CVE-2024-53104 y CVE-2024-50302. Según Amnistía Internacional,
las tres vulnerabilidades se combinaron
para acceder al teléfono Android de un joven activista serbio en diciembre de
2024.
Si bien Google abordó la vulnerabilidad CVE-2024-53104 en febrero de 2025, la
vulnerabilidad CVE-2024-50302 se remedió el mes pasado. Con la última
actualización, se han corregido las tres vulnerabilidades, lo que impide su
explotación.
Actualmente no hay detalles sobre cómo se ha explotado la vulnerabilidad
CVE-2024-53150 en ataques reales, quién la ha explotado ni quiénes podrían
haber sido el objetivo de dichos ataques. Se recomienda a los usuarios de
dispositivos Android que apliquen las actualizaciones a medida que los
fabricantes de equipos originales (OEM) de Android las publiquen.
Fuente:
THN