Múltiples vulnerabilidades en el kernel de Android
Los componentes del Kernel con mayor criticidad afectados son:
- pKVM
- IOMMU
Existen otras vulnerabilidades de severidad crítica que afectan:
- al framework en versiones de AOSP 13, 14, 15 y 16.
- a componentes de código cerrado de Qualcomm.
El boletín mensual de diciembre de 2025 de Android incluye varias vulnerabilidades que afectan diferentes productos de Android, algunos incluso afectan a componentes del kernel. Las vulnerabilidades de mayor severidad podrían permitir a un atacante provocar una denegación de servicio (DoS) remota sin la necesidad de privilegios de ejecución adicionales y llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
El boletín de seguridad de Android incluye información sobre las vulnerabilidades que tienen los dispositivos Android. Los niveles de parche de seguridad del 2025-12-05 o posteriores abordan todos estos problemas.
- CVE-2025-48623: vulnerabilidad sobre la dirección no alineada del búfer de solicitud de hipervisor para evitar derrames en la página adyacente.
- CVE-2025-48624: vulnerabilidad de asignación de punteros L2 se debe comprobar el SID y la falta de un igual para las comprobaciones de SID.
- CVE-2025-48637: vulnerabilidad en la copia local de los datos proporcionados por el host con el fin de evitar un error de tiempo de verificación de uso al utilizar páginas al hipervisor Memcache.
- CVE-2025-48638: vulnerabilidad en la lectura de valores negativos del descriptor de seguimiento.
- CVE-2025-48631: vulnerabilidad en AOSP que podría provocar una denegación de servicio remota sin necesidad de privilegios de ejecución adicionales.
- CVE-2025-47319 y CVE-2025-47372: estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm.
