En su actualización de seguridad de mayo, Google ha abordado 47 vulnerabilidades que afectan a los dispositivos Android, incluyendo un defecto de software de alta gravedad que se explota activamente, el cual fue revelado por primera vez en marzo. La vulnerabilidad de alta gravedad, identificada como CVE-2025-27363, “puede estar siendo explotada de manera limitada y dirigida”, según indicó Google.
El defecto crítico en FreeType:
La vulnerabilidad se encuentra en la biblioteca FreeType (versiones 2.13.0 y anteriores), una biblioteca de software escrita en el lenguaje de programación C que permite a los desarrolladores renderizar fuentes. Este defecto, denominado escritura fuera de límites (out-of-bounds write), podría permitir la ejecución arbitraria de código. Facebook, que actuó como autoridad de numeración CVE, reveló el defecto en un aviso de seguridad en marzo, asignándole una puntuación base de 8.1 en la escala CVSS, lo que indica su alta gravedad. La vulnerabilidad aún está a la espera de una evaluación más profunda por parte del Programa de Base de Datos de Vulnerabilidades Nacionales del Instituto Nacional de Estándares y Tecnología.
FreeType es utilizado en una variedad de productos que están presentes en más de mil millones de dispositivos, según datos del Proyecto FreeType.
Otras vulnerabilidades importantes corregidas:
La actualización de seguridad de Google también aborda 15 vulnerabilidades de alta gravedad que afectan al framework de Android, así como nueve defectos de software de alta gravedad que impactan al sistema operativo Android. En caso de ser explotadas, estas vulnerabilidades podrían permitir a los atacantes realizar acciones como:
- Escalamiento de privilegios
- Ejecución remota de código
- Ejecución local de código
- Divulgación de información
- Denegación de servicio
Recomendaciones para los usuarios:
Google ha instado a los usuarios de dispositivos Android a aplicar esta actualización de seguridad lo antes posible para protegerse contra estas vulnerabilidades críticas. Mantener los dispositivos actualizados es crucial para evitar que los atacantes exploten estas fallas de seguridad.
Fuente: https://cyberscoop.com/
