Boletín de seguridad de Android: enero de 2025
- Android Open Source Project (AOSP): versiones 12, 12L, 13, 14 y 15 (framework y system).
- Actualizaciones del sistema Google Play.
- Componentes de Imagination Technologies, MediaTek y Qualcomm.
El boletín de Android, relativo a enero de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como múltiples componentes, y que podrían provocar una escalada de privilegios, una ejecución remota de código, una divulgación de información o una denegación de servicio.
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
Las vulnerabilidades de severidad crítica se describen a continuación:
- Múltiples vulnerabilidades de ejecución remota de código (RCE) sin necesidad de privilegios de ejecución adicionales que afectan al sistema operativo Android. Se han asignado los identificadores CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-49747 y CVE-2024-49748 para estas vulnerabilidades.
- El subcomponente Modem de MediaTek es vulnerable a un desbordamiento de la pila de memoria (stack) debido a una falta de comprobación de sus límites, lo que podría conllevar una RCE. Se ha asignado el identificador CVE-2024-20154 para esta vulnerabilidad.
El resto de identificadores CVE pueden consultarse en las referencias.