Google ha enviado actualizaciones de seguridad para abordar 120 fallas de seguridad en su sistema operativo Android como parte de sus soluciones mensuales para septiembre de 2025, incluidos dos problemas que, según él, han sido explotados en ataques específicos.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-38352 (Puntuación CVSS: 7.4) – Un defecto de escalada de privilegios en el componente del núcleo de Linux
- CVE-2025-48543 (Puntuación CVSS: N/A) – Un defecto de escalada de privilegios en el componente de tiempo de ejecución de Android
Google dijo que ambas vulnerabilidades podrían conducir a la escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. También señaló que no se requiere interacción del usuario para la explotación.
El gigante tecnológico no reveló cómo los problemas se han armado en ataques del mundo real y si se están utilizando en conjunto, pero reconoció que hay indicios de «explotación limitada y específica».
Benoît Sevens del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado por descubrir e informar el defecto de Kernel Linux aguas arriba, lo que indica que puede haber sido abusado como parte de los ataques de spyware específicos.
También están parcheados por Google hay varias ejecución de código remoto, escalada de privilegios, divulgación de información y vulnerabilidades de denegación de servicio que afectan el marco y los componentes del sistema.
Google ha lanzado dos niveles de parche de seguridad, 2025-09-01 y 2025-09-05, para dar flexibilidad a los socios de Android para abordar una parte de vulnerabilidades que son similares en todos los dispositivos Android más rápidamente.
«Se alienta a los socios de Android a solucionar todos los problemas en este boletín y usar el último nivel de parche de seguridad», dijo Google.
El mes pasado, el gigante tecnológico Google lanzó actualizaciones de seguridad para resolver dos vulnerabilidades de Qualcomm: CVE-2025-21479 (puntaje CVSS: 8.6) y CVE-2025-27038 (puntaje CVSS: 7.5), que fueron marcados por el fabricante de chips como explotado activamente en la naturaleza.