Google corrige vulnerabilidades zero-day en Android y un total de 107 fallos en diciembre de 2025, incluyendo problemas de elevación de privilegios y denegación de servicio en múltiples componentes del sistema.

Google ha publicado el último boletín de seguridad de Android correspondiente a diciembre de 2025, abordando un total de 107 vulnerabilidades, incluidas dos que estaban siendo activamente explotadas en ataques dirigidos. Las dos vulnerabilidades de alta gravedad están registradas como CVE-2025-48633 y CVE-2025-48572.

La primera se trata de un fallo de divulgación de información, mientras que la segunda es un problema de elevación de privilegios, afectando a Android desde la versión 13 hasta la 16. El boletín advierte que estas vulnerabilidades podrían estar siendo explotadas de manera limitada y dirigida.

Google no ha compartido detalles técnicos ni sobre la explotación de estas debilidades, aunque fallos similares en el pasado se han utilizado en ataques de spyware comercial o en operaciones de ciberespionaje dirigidas a un número reducido de objetivos de alto interés.

El fallo más crítico corregido este mes es CVE-2025-48631, un error de denegación de servicio (DoS) en el Framework de Android.

En total, las actualizaciones de diciembre solucionan 51 fallos en los componentes del Framework y del sistema de Android, y otros 56 errores en el Kernel y en componentes cerrados de terceros.

Entre estos últimos se incluyen cuatro correcciones críticas de elevación de privilegios en los subcomponentes Pkvm y UOMMU del Kernel, así como dos correcciones críticas para dispositivos con procesadores Qualcomm.

Es fundamental mantener los dispositivos Android actualizados para aplicar todas estas correcciones y protegerse frente a los fallos de seguridad detectados. Además, se recomienda tener Play Protect activado, ya que esta herramienta permite detectar y bloquear malware y cadenas de ataque documentadas, protegiendo cualquier versión del sistema operativo.