Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Android: enero de 2025

Fecha de publicación 07/01/2025
Identificador
INCIBE-2025-0002
Importancia
5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 12, 12L, 13, 14 y 15 (framework y system).
  • Actualizaciones del sistema Google Play.
  • Componentes de Imagination Technologies, MediaTek y Qualcomm.
Descripción

El boletín de Android, relativo a enero de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como múltiples componentes, y que podrían provocar una escalada de privilegios, una ejecución remota de código, una divulgación de información o una denegación de servicio.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • Múltiples vulnerabilidades de ejecución remota de código (RCE) sin necesidad de privilegios de ejecución adicionales que afectan al sistema operativo Android. Se han asignado los identificadores CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-49747 y CVE-2024-49748 para estas vulnerabilidades.
  • El subcomponente Modem de MediaTek es vulnerable a un desbordamiento de la pila de memoria (stack) debido a una falta de comprobación de sus límites, lo que podría conllevar una RCE. Se ha asignado el identificador CVE-2024-20154 para esta vulnerabilidad.

El resto de identificadores CVE pueden consultarse en las referencias.