CSIRT Panamá Aviso 2025-sep–3 Actualizaciones de seguridad para Android
Gravedad: ALTA
Fecha de publicación: septiembre 3, 2025
Última revisión: septiembre 3, 2025
Fuente: https://thehackernews.com/2025/09/android-security-alert-google-patches.html
Sistemas afectados:
Android Runtime
Framework
System
I. Descripción
Google ha publicado actualizaciones de seguridad para Android correspondientes al mes de septiembre de 2025, corrigiendo un total de 120 vulnerabilidades. Entre ellas destacan dos zero-days ya explotados en ataques dirigidos, sin requerir interacción del usuario .
CVE‑2025‑38352 (CVSS 7.4) – Escalada de privilegios en el componente Linux Kernel. Su explotación permite al atacante elevar privilegios localmente sin permisos adicionales, sin necesidad de interacción del usuario .
CVE‑2025‑48543 (CVSS no disponible) – Escalada de privilegios en el componente Android Runtime. Similarmente, no requiere interacción del usuario .
Además, se incluyen múltiples correcciones por vulnerabilidades de ejecución remota de código (RCE), escalada de privilegios, divulgación de información, y denegación de servicio (DoS) que afectan a componentes como Framework y System .
II. Impacto
Las vulnerabilidades clave permiten escalada de privilegios local o ejecución remota de código, sin necesidad de que la víctima realice ninguna acción.
Los CVE marcados como “explotados en ataques dirigidos” representan un alto riesgo, sobre todo en entornos corporativos o con datos sensibles .
La provisión de dos niveles de parche (2025-09-01 y 2025-09-05) busca ofrecer flexibilidad a los fabricantes para desplegar rápidamente correcciones comunes mientras validan el resto .
III. Referencia a soluciones, herramientas e información
Aplicar los parches de seguridad de septiembre 2025 inmediatamente; asegurarse de que el dispositivo utiliza el nivel de parche más reciente.
Verificar con el fabricante del equipo (OEM) que el parche se ha integrado correctamente en el modelo específico del dispositivo.
En ambientes corporativos, priorizar el despliegue en dispositivos con acceso a información sensible o infraestructuras críticas.
Mantener prácticas de seguridad como desactivar servicios innecesarios, revisar los permisos de aplicaciones y monitorear comportamientos inusuales.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Key ID: 16F2B124