Google ha publicado una actualización de seguridad crítica para el sistema operativo Android que aborda 46 vulnerabilidades, destacando especialmente un fallo de seguridad en la biblioteca FreeType que está siendo activamente explotado. La vulnerabilidad, identificada como CVE-2025-27363, ha recibido una puntuación de gravedad de 8,1 en la escala CVSS, lo que indica su alto nivel de riesgo para los usuarios.
Análisis Técnico de la Vulnerabilidad FreeType
La vulnerabilidad afecta al componente central del sistema Android, permitiendo la ejecución de código arbitrario de forma local sin requerir privilegios elevados ni interacción del usuario. El problema se origina en el procesamiento inadecuado de estructuras de subglifos en archivos de fuentes TrueType GX y fuentes variables, lo que puede resultar en una compromiso significativo de la seguridad del dispositivo.
Impacto y Alcance de la Amenaza
La vulnerabilidad afecta a todas las versiones de la biblioteca FreeType anteriores a la 2.13.0. Los investigadores han confirmado casos de explotación activa en ataques dirigidos, aunque los detalles específicos permanecen confidenciales para proteger a los usuarios mientras se implementa la actualización.
Detalles Técnicos del Vector de Ataque
El vector de ataque se basa en una conversión insegura de tipos de datos durante el procesamiento de fuentes. Un error en la asignación de valores signed short a variables unsigned long, combinado con la adición de un valor estático, puede provocar un desbordamiento de búfer que permite la ejecución de código malicioso.
Actualizaciones Adicionales de Seguridad
El parche incluye correcciones para múltiples componentes de Android, incluyendo el Framework, System, Google Play y el kernel. También se han abordado vulnerabilidades en componentes propietarios de fabricantes como MediaTek, Qualcomm, Arm e Imagination Technologies, principalmente relacionadas con la elevación de privilegios.
Se recomienda encarecidamente a todos los usuarios de dispositivos Android que instalen inmediatamente la última actualización de seguridad. La naturaleza crítica de la vulnerabilidad CVE-2025-27363 y su explotación activa hacen que la actualización sea urgente para prevenir posibles compromisos de seguridad. Los usuarios pueden verificar la disponibilidad de actualizaciones en Configuración > Sistema > Actualización del sistema.
