Google corrige 47 vulnerabilidades en Android en su boletín de seguridad de mayo de 2025, incluida una de día cero explotada activamente.
El boletín de seguridad de Android contiene detalles sobre las vulnerabilidades de seguridad que afectan a los dispositivos con este sistema operativo. Los parches de seguridad del 05/05/2025 o posteriores solucionan todos estos problemas.
Los días cero son vulnerabilidades que se explotan antes de que los proveedores tengan la oportunidad de solucionarlas, a menudo incluso antes de que sepan de su existencia.
Las actualizaciones de mayo están disponibles para Android 13, 14 y 15. Sin embargo, esto no siempre significa que los parches estén disponibles para todos los dispositivos de inmediato.
Puedes encontrar la versión de Android de tu dispositivo, el nivel de actualización de seguridad y el nivel de sistema de Google Play en Ajustes. Recibirás notificaciones cuando haya actualizaciones disponibles, pero también puedes buscarlas tú mismo.
Para la mayoría de los teléfonos funciona así: en Acerca del teléfono o Acerca del dispositivo, puedes tocar Actualizaciones de software para verificar si hay nuevas actualizaciones disponibles para su dispositivo, aunque puede haber ligeras diferencias según la marca, el tipo y la versión de Android de su smartphone o tablet.
Si tu teléfono Android muestra el nivel de parche 2025-05-05 o posterior, puedes considerar los problemas solucionados.
La diferencia con el nivel de parche 2025-05-01 es que este último proporciona todas las correcciones del primer lote, así como parches de seguridad para subcomponentes de código cerrado de terceros y del kernel, que podrían no ser aplicables a todos los dispositivos Android.
La vulnerabilidad de día cero explotada activamente
El ataque de día cero, que se explota activamente y se parchea con esta actualización, fue detectado por Facebook en marzo y se encontró en la biblioteca FreeType, explicó la web Malwarebytes.
FreeType es una biblioteca de software de código abierto que utilizan los dispositivos Android para mostrar texto mediante la representación de fuentes.
En esencia, convierte los archivos de fuentes en las letras y caracteres que se ven en la pantalla. Está diseñado para ser pequeño, rápido y flexible, compatible con numerosos formatos de fuente y ampliamente utilizado en miles de millones de dispositivos y aplicaciones.
La vulnerabilidad, identificada como CVE-2025-27363, permite a los atacantes ejecutar código remoto (RCE) aprovechando el procesamiento de FreeType de ciertos archivos de fuentes TrueType GX y variables.
Debido a que FreeType gestiona incorrectamente los valores en la memoria del dispositivo, crea una vulnerabilidad de escritura fuera de límites. Cuando un programa accede a la memoria fuera de su área asignada, ya sea leyendo o escribiendo fuera de los límites, puede provocar fallos, ejecutar código arbitrario o exponer información confidencial.
Esto ocurre cuando el tamaño de los datos excede la memoria asignada, cuando las escrituras de datos se dirigen a ubicaciones de memoria incorrectas o cuando el programa calcula incorrectamente el tamaño o la posición de los datos.
Las versiones de FreeType posteriores a la 2.13.0 corrigen esta vulnerabilidad
Dado que FreeType funciona como una biblioteca nativa integrada en los componentes del sistema que renderizan fuentes, los usuarios habituales de Android no pueden comprobar fácilmente qué versión usa su dispositivo.
Por lo tanto, la mejor defensa es instalar las últimas actualizaciones del sistema y ejecutar una protección antimalware activa. Vulnerabilidades en Android
Facebook advirtió que los atacantes “podrían haber explotado la vulnerabilidad de forma activa”, y Google confirmó que la vulnerabilidad “podría estar bajo una explotación limitada y dirigida”, aunque ninguno de los dos reveló más detalles.
Es razonable suponer que simplemente abrir un documento o una aplicación que contenga una fuente maliciosa podría comprometer su dispositivo, sin necesidad de ninguna acción o permiso adicional del usuario.
No dejes de leer: Funciones de Android poco conocidas por los usuarios
