Boletín de seguridad de Android: abril de 2025
- Android Open Source Project (AOSP): versiones 13, 14 y 15 (framework y system);
- Actualizaciones del sistema Google Play;
- Kernel;
- Componentes de Arm; Imagination Technologies, MediaTek y Qualcomm.
El boletín de Android, relativo al mes de abril de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como múltiples componentes, y que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.
El fabricante también informa de que dos de las vulnerabilidades pueden estar siendo explotadas, aunque de forma dirigida y limitada.
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlo.
Puede consultar cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En el caso de seguir con esta guía y no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
Las vulnerabilidades de severidad crítica se describen a continuación:
- Elevación de privilegios local o remota sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para el aprovechamiento. Se han asignado los identificadores CVE-2025-22429, CVE-2025-26416 y CVE-2025-22423 para estas vulnerabilidades.
- El subcomponente de código cerrado de Qualcomm puede realizar incorrectamente la verificación de PIN/contraseña, lo que puede derivar en una omisión de las limitaciones del usuario. Se ha asignado el identificador CVE-2024-45551 para esta vulnerabilidad.
Android también informa de que las siguientes vulnerabilidades de severidad alta y que afectan al kernel pueden estar siendo explotadas, aunque de forma dirigida y limitada, CVE-2024-53150 y CVE-2024-53197.
El resto de identificadores CVE pueden consultarse en las referencias.
