Google lanza una actualización de Android para corregir dos vulnerabilidades explotadas activamente
Google ha enviado parches para 62 vulnerabilidades, dos de las cuales, según afirma, han sido explotadas activamente.
Las dos vulnerabilidades de alta gravedad se enumeran a continuación:
CVE-2024-53150 (puntuación CVSS: 7,8): una falla fuera de límites en el subcomponente USB del kernel que podría provocar la divulgación de información.
CVE-2024-53197 (puntuación CVSS: 7,8): una falla de escalada de privilegios en el subcomponente USB del kernel.
"El más grave de estos problemas es una vulnerabilidad crítica de seguridad en el componente del sistema que podría provocar una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales", declaró Google en su boletín de seguridad mensual de abril de 2025. "No se requiere la interacción del usuario para su explotación".
El gigante tecnológico también reconoció que ambas deficiencias pueden haber sido resultado de una "explotación limitada y específica".
Cabe destacar que CVE-2024-53197 está arraigada en el kernel de Linux y se parcheó el año pasado, junto con CVE-2024-53104 y CVE-2024-50302. Según Amnistía Internacional, las tres vulnerabilidades se combinaron para acceder al teléfono Android de un joven activista serbio en diciembre de 2024.
Si bien Google abordó la vulnerabilidad CVE-2024-53104 en febrero de 2025, la CVE-2024-50302 se solucionó el mes pasado. Con la última actualización, se han corregido las tres vulnerabilidades, lo que elimina eficazmente la ruta de explotación.
Actualmente no hay detalles sobre cómo se ha explotado CVE-2024-53150 en ataques reales, quién lo ha hecho ni quiénes podrían haber sido el objetivo de dichos ataques. Se recomienda a los usuarios de dispositivos Android que instalen las actualizaciones a medida que los fabricantes de equipos originales (OEM) las publiquen.
Actualizar
Cuando se le solicitó comentarios sobre CVE-2024-53150, Google le dijo a The Hacker News que "se remitirá al informe de Amnistía", indicando que la vulnerabilidad también fue explotada como parte de la misma cadena.
En un comunicado posterior compartido con la publicación el 9 de abril, Google confirmó que Cellebrite utilizó ambas vulnerabilidades de día cero. En una medida similar, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) añadió las dos fallas del kernel de Linux a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), exigiendo a las agencias federales que apliquen los parches antes del 30 de abril de 2025.
Fuente: https://thehackernews.com/2025/04/google-releases-android-update-to-patch.html