Android corrige 120 vulnerabilidades en septiembre: dos 0‑day activos y RCE por proximidad

Foto del autor

CyberSecureFox Editorial Team

Google ha publicado el paquete de seguridad de Android de septiembre de 2025 con correcciones para 120 vulnerabilidades en el sistema operativo y componentes de la ecosistema. La compañía confirmó que al menos dos fallos, CVE‑2025‑38352 (elevación de privilegios en Linux Kernel) y CVE‑2025‑48543 (elevación de privilegios en Android Runtime), han sido explotados en ataques dirigidos y de alcance limitado, sin requerir interacción del usuario. Según el Android Security Bulletin, este tipo de debilidades son prioritarias por su potencial para comprometer dispositivos con una sola exposición.

Vulnerabilidades críticas y 0‑day: qué se corrige y por qué importa

CVE‑2025‑38352 afecta al kernel de Linux: se trata de una condición de carrera en los temporizadores POSIX que puede provocar fallos en la limpieza de tareas y desestabilizar el núcleo. Descubierta el 22 de julio de 2025, se corrigió en ramas del kernel a partir de la 6.12.35‑1. En la práctica, este bug puede causar denegación de servicio y habilitar elevación de privilegios (EoP), es decir, permitir que un proceso obtenga permisos más altos de los que debería.

CVE‑2025‑48543 reside en Android Runtime (la capa que ejecuta apps Java/Kotlin y servicios del sistema). Puede burlar la sandbox y acceder a funcionalidades de mayor nivel. Un bypass de sandbox es especialmente crítico cuando se combinan con apps maliciosas o vectores de carga encubiertos, pues reduce las barreras entre una app y los recursos del sistema.

Vectores de ataque y potencial de impacto

CVE‑2025‑48539: RCE sin interacción mediante Wi‑Fi o Bluetooth

Destaca CVE‑2025‑48539, una vulnerabilidad de ejecución remota de código (RCE) en un componente del sistema Android. Permite a un atacante en proximidad de red o física (por ejemplo, dentro del alcance de Wi‑Fi o Bluetooth) ejecutar código arbitrario sin clics y sin permisos previos. Los vectores RCE por proximidad se consideran de alta prioridad porque pueden facilitar propagación tipo gusano en entornos locales. Históricamente, campañas como BlueBorne o Broadpwn ilustraron cómo fallos inalámbricos pueden comprometer dispositivos cercanos sin intervención del usuario.

Qualcomm: GPS, pilas de red y subsistemas de telefonía

El boletín incluye correcciones críticas para componentes de Qualcomm, entre ellas CVE‑2025‑21450 (gestión de GPS), CVE‑2025‑21483 (defectos en pilas de red) y CVE‑2025‑27034 (error en el procesador de llamadas multimodo). Estas fallas pueden afectar geolocalización, manejo de tráfico y telefonía, elevando el riesgo de acceso no autorizado a datos, fuga de información y degradación del servicio en la capa del módem. Para un parque corporativo, comprometer el módem puede abrir puertas a espionaje de tráfico y persistencia a bajo nivel.

Niveles de parche 2025‑09‑01 y 2025‑09‑05: cómo leerlos y aplicarlos

Google mantiene dos niveles de parche: 2025‑09‑01 (núcleo del sistema Android) y 2025‑09‑05 (incluye controladores y componentes propietarios, como Qualcomm). Los OEM utilizan esta separación para distribuir actualizaciones parciales más rápido. Para usuarios y empresas, el objetivo debe ser alcanzar el nivel 2025‑09‑05 tan pronto como esté disponible, ya que consolida mitigaciones adicionales que cierran superficies de ataque de bajo nivel.

Riesgos para usuarios y organizaciones y mitigaciones prioritarias

Las vulnerabilidades 0‑click incrementan el riesgo para dispositivos expuestos en redes públicas o con interfaces Bluetooth/Wi‑Fi siempre activas. En entornos empresariales, EoP y RCE pueden derivar en la toma de control de perfiles EMM/MDM, movimientos laterales y fuga de datos. Boletines como el Android Security Bulletin y las advisories de fabricantes (p. ej., Qualcomm) son referencias esenciales para priorizar parches en función del inventario de hardware.

  • Actualizar a la versión con parche 2025‑09‑05 en cuanto el OEM la libere.
  • Reducir la superficie inalámbrica: limitar la visibilidad y desactivar Bluetooth/Wi‑Fi cuando no se utilicen.
  • Restringir la instalación de APK de terceros; reforzar permisos y mantener activo Google Play Protect.
  • En empresas: desplegar parches vía MDM/EMM, bloquear sideloading y monitorizar registros por fallos del kernel y anomalías en servicios.

La actualización de septiembre confirma un patrón sostenido: la plataforma móvil es un objetivo prioritario para ataques dirigidos con 0‑day. Mantener los dispositivos al día, minimizar la superficie de exposición inalámbrica y aplicar una gestión estricta de aplicaciones reduce de forma significativa el riesgo. Conviene seguir de manera periódica el Android Security Bulletin y los avisos de los proveedores para acelerar la adopción de parches críticos y reforzar la resiliencia del parque de dispositivos.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio