Samsung ha publicado un parche para CVE-2025-21043, una vulnerabilidad de día cero con puntuación CVSS 8,8 que ya estaba siendo explotada en ataques dirigidos. El fallo afecta a dispositivos con Android 13 y versiones posteriores y fue reportado el 13 de agosto de 2025 por los equipos de seguridad de Meta y WhatsApp, lo que desencadenó una respuesta coordinada con la industria.
Vulnerabilidad en la biblioteca de imágenes de Quramsoft: alcance y causa raíz
El origen del problema reside en la biblioteca propietaria libimagecodec.quram.so, desarrollada por Quramsoft para decodificar formatos gráficos. La falla es del tipo out-of-bounds write, un error de memoria que posibilita la ejecución remota de código (RCE) cuando el dispositivo procesa archivos multimedia especialmente manipulados. Cualquier aplicación que integre esta biblioteca queda potencialmente expuesta.
Vector de ataque: del mensaje al código
La explotación se apoya en la entrega de una imagen o su vista previa, que la aplicación vulnerable procesa en segundo plano. Los mensajeros y clientes que dependen de libimagecodec.quram.so son los canales más probables. Samsung ha confirmado la existencia de un exploit operativo y su uso en escenarios reales. Aunque no se limita a un único servicio, la lógica del fallo sugiere riesgos transversales para cualquier app que utilice la biblioteca afectada.
Respuesta coordinada: parches de Samsung, Apple y WhatsApp
Según Meta, los hallazgos se compartieron con socios del sector, incluidos Apple y Samsung. Apple cerró la vulnerabilidad relacionada CVE-2025-43300 el mes pasado; por su parte, Samsung publicó el parche correspondiente, documentado como SVE-2025-1702, junto con su boletín de seguridad. Además, al final de agosto, WhatsApp corrigió la zero-click CVE-2025-55177 en iOS y macOS, reportada como parte de una cadena compleja combinada con CVE-2025-43300 para ataques selectivos. En los avisos a afectados se recomendó restablecimiento de fábrica y mantener SO y apps actualizados.
Riesgo real: por qué las bibliotecas de medios son un objetivo
La alta severidad se explica por su explotación remota y la posibilidad de RCE con mínima interacción. Los componentes de procesamiento de imágenes y video han sido históricamente vectores ideales para ataques silenciosos: el caso Stagefright (2015) en Android o los zero‑click contra iMessage utilizados en campañas de espionaje comercial son precedentes claros. Informes públicos de Microsoft y Google han señalado de forma consistente que alrededor del 70% de las vulnerabilidades críticas en plataformas complejas están relacionadas con errores de seguridad de memoria, categoría a la que pertenece este fallo. En la práctica, estos ataques son especialmente efectivos contra periodistas, activistas, ejecutivos y equipos con acceso a información sensible.
Medidas de mitigación: qué hacer ahora
Actualice de inmediato. Instale el último firmware y parches de seguridad de Samsung. Verifique el Android Security Patch Level en Ajustes y asegúrese de que coincide con el más reciente disponible para su modelo.
Reduzca la superficie de ataque en mensajería. Desactive temporalmente la autodescarga y el guardado automático de imágenes y videos, especialmente en dispositivos corporativos. Minimiza la activación pasiva de la vulnerabilidad vía previsualizaciones.
Endurecimiento de aplicaciones. Mantenga los mensajeros y visores de medios actualizados, elimine clientes redundantes y, en entornos empresariales, aplique políticas MDM/EMM para bloquear versiones obsoletas y forzar actualizaciones.
Monitoreo y respuesta. Vigile cierres anómalos en apps de mensajería/galería, reinicios inesperados y picos inusuales de tráfico. Si sospecha de compromiso: aísle el dispositivo, realice copia de seguridad, considere restablecer a estado de fábrica y restaure sólo desde copias confiables.
Indicadores prácticos a observar
Comportamientos como fallos recurrentes al abrir medios, creación de archivos multimedia “vacíos” o no reproducibles y actividad de red sin interacción del usuario tras recibir mensajes pueden sugerir intentos de explotación. No son concluyentes, pero justifican una revisión forense o, al menos, la aplicación inmediata de parches.
La cadena en torno a CVE-2025-21043 confirma una tendencia: los ataques avanzados suelen iniciarse en el parsing de contenido y escalar mediante combinaciones de fallos. Aplicar parches con rapidez, limitar la exposición de medios y operar con disciplina operativa sigue siendo la forma más eficaz de reducir el riesgo. Revise hoy sus dispositivos Samsung, actualice los mensajeros críticos y refuerce sus políticas de actualización para cerrar esta puerta de entrada.
