Google ha lanzado las actualizaciones de seguridad de mayo de 2025 para Android, que incluyen parches para 45 vulnerabilidades, entre ellas una grave vulnerabilidad de ejecución remota de código en la popular librería FreeType 2.
Detalles de la vulnerabilidad CVE-2025-27363
- Impacto: Ejecución remota de código (RCE)
- Descripción: La vulnerabilidad en FreeType 2 afecta a todas las versiones hasta 2.13, lanzada en febrero de 2023. Se produce cuando FreeType procesa un archivo malicioso de fuentes TrueType GX o variable.
- Técnica: El error ocurre por una escritura fuera de límites al intentar analizar estructuras de subglifos, lo que provoca la asignación incorrecta de valores en el búfer de memoria y puede resultar en ejecución de código arbitrario.
Explotación activa
Facebook y Google confirmaron que la vulnerabilidad CVE-2025-27363 podría estar siendo explotada de forma limitada y dirigida.
Aunque los detalles exactos de cómo se utiliza el fallo en los ataques aún no se han revelado.
Solución
Google ha incluido la corrección de esta vulnerabilidad en la actualización de seguridad de mayo de 2025. Las versiones afectadas son Android 13, 14 y 15.
Pasos para aplicar la actualización:
- Ir a Ajustes
- Seleccionar Seguridad y privacidad
- Seleccionar Sistema y actualizaciones
- Hacer clic en Actualizar seguridad y luego Buscar actualizaciones.
Recomendaciones de seguridad
Los usuarios de Android 12 o versiones anteriores deben migrar a versiones más recientes de Android o considerar distribuciones de Android de terceros que ofrezcan actualizaciones de seguridad.
Para dispositivos más antiguos que ya no son compatibles, se recomienda actualizar a modelos más recientes con soporte activo.