El butlletí mensual de desembre de 2025 d’Android inclou diverses vulnerabilitats que afecten diferents productes d’Android, alguns fins i tot afecten components de la matriu (kernel). Les vulnerabilitats més severes podrien permetre a un atacant provocar una denegació de servici (DDoS) remota sense la necessitat de privilegis d’execució addicionals i portar a una escalada local de privilegis sense necessitat de privilegis d’execució addicionals
Anàlisi
-
- CVE-2025-48623: vulnerabilitat sobre l’adreça no alineada de la memòria de sol·licitud d’hipervisor per a evitar degotejos espectrals en la pàgina adjacent.
- CVE-2025-48624: vulnerabilitat d’assignació de punters L2 s’ha de comprovar el SID i la falta d’un igual per a les comprovacions de SID.
- CVE-2025-48637: vulnerabilitat en la còpia local de les dades proporcionades per l’amfitrió (host) amb la finalitat d’evitar un error de temps de verificació d’ús a l’hora d’utilitzar pàgines en el hipervisor Memcache.
- CVE-2025-48638: vulnerabilitat en la lectura de valors negatius del descriptor de seguiment.
- CVE-2025-48631: vulnerabilitat en AOSP que podria provocar una denegació de servici remota sense necessitat de privilegis d’execució addicionals.
- CVE-2025-47319 y CVE-2025-47372: estes vulnerabilitats afecten els components de codi tancat de Qualcomm.
Recursos afectats
Els components de la matriu amb més criticitat afectats són:
-
- pKVM
- IOMMU
Existixen altres vulnerabilitats de severitat crítica que afecten:
-
- L’entorn de treball (framework) en versions d’AOSP 13, 14, 15 i 16.
- components de codi tancat de Qualcomm.
Recomanacions:
El butlletí de seguretat d’Android inclou informació sobre les vulnerabilitats que tenen els dispositius Android. Els nivells de pedaç de seguretat del 2025-12-05 o posteriors aborden tots estos problemes.
Referències: