Update ASAP | Google corrige falla crítica en Android (CVE-2025-27363) que ya está siendo explotada: Analisis

El 6 de mayo de 2025, Google publicó su boletín mensual de seguridad para Android, corrigiendo un total de 46 vulnerabilidades. Entre ellas, destaca una falla crítica que ya ha sido explotada activamente en ataques dirigidos: la vulnerabilidad identificada como CVE-2025-27363, con una puntuación CVSS de 8.1 (Alta severidad). Este fallo afecta directamente al componente del sistema de Android y a la biblioteca de código abierto FreeType, utilizada para el procesamiento de fuentes tipográficas.

Este artículo analiza esta vulnerabilidad, sus implicaciones técnicas, el alcance de los sistemas afectados, los riesgos para usuarios y organizaciones, así como las recomendaciones específicas para mitigarla.

---

Descripción general de CVE-2025-27363

Identificador: CVE-2025-27363

• Tipo de vulnerabilidad: Escritura fuera de límites (out-of-bounds write)
• Componente afectado: Sistema Android / Biblioteca FreeType
• Tecnología involucrada: Procesamiento de fuentes TrueType GX y variables
• Impacto potencial: Ejecución local de código arbitrario sin privilegios adicionales ni interacción del usuario
• Estado de explotación: Confirmada su explotación activa en ataques dirigidos
• Versión afectada de FreeType: Hasta la versión 2.13.0
• Solución disponible: FreeType >= 2.13.1
• Publicación inicial: 11 de marzo de 2025
• Descubrimiento atribuido a: Equipo de seguridad de Meta (Facebook)

---

Detalles técnicos

La vulnerabilidad CVE-2025-27363 se origina en el código de FreeType responsable del análisis de estructuras de subglyphs en archivos de fuentes TrueType GX y variables. El problema radica en una asignación incorrecta entre tipos de datos: un valor signed short es asignado a una variable unsigned long, seguido de una operación de suma con un valor estático. Esta combinación provoca una condición de overflow que resulta en la asignación de un buffer de memoria insuficiente en el heap.

Posteriormente, el código intenta escribir hasta seis valores de tipo signed long fuera de los límites de este buffer, generando una escritura fuera de límites. Esto puede derivar en:

• Corrupción de memoria
• Caídas del sistema
• Potencial ejecución de código arbitrario en el contexto del proceso afectado

La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código de forma local en el dispositivo Android, sin requerir permisos adicionales ni interacción del usuario.

---

Entorno y productos afectados

La vulnerabilidad impacta a dispositivos Android que utilicen versiones de FreeType anteriores a la 2.13.1. En particular, afecta al componente “System” del sistema operativo Android en versiones comprendidas entre Android 12 y Android 15. Además, afecta cualquier otra plataforma o producto que utilice FreeType para el renderizado de fuentes tipográficas si aún no ha sido actualizado.

Producto Vulnerable	Versión afectada	Versión corregida
FreeType	<= 2.13.0	>= 2.13.1
Android System	12 – 15	Actualización de mayo 2025

---

Probabilidad de explotación y análisis EPSS

Según el sistema EPSS (Exploit Prediction Scoring System), CVE-2025-27363 tiene una probabilidad de explotación del 13.07% en los próximos 30 días. Esto sitúa a esta vulnerabilidad en el percentil 94%, lo que significa que es más probable que sea explotada en comparación con la gran mayoría de vulnerabilidades documentadas.

La existencia de explotación activa confirmada eleva el riesgo de forma significativa, ya que demuestra que actores maliciosos ya están utilizando este fallo en ataques del mundo real.

---

Contexto de la explotación activa

La vulnerabilidad fue reportada inicialmente por el equipo de seguridad de Meta (Facebook) en marzo de 2025. En ese momento, ya existían indicios de explotación limitada y dirigida, pero sin detalles públicos específicos sobre los ataques. Posteriormente, Google confirmó la existencia de explotación activa durante la preparación de su boletín de seguridad de mayo, lo que aceleró la necesidad de parches obligatorios, especialmente para agencias federales y sectores críticos.

Cabe destacar que los detalles técnicos de los exploits no han sido divulgados públicamente, lo que limita el desarrollo de PoCs (proof-of-concept) por parte de terceros. Sin embargo, la complejidad técnica moderada de la vulnerabilidad y su elevada criticidad hacen que sea una prioridad corregirla inmediatamente.

---

¿Por qué esta vulnerabilidad es crítica?

1. No requiere privilegios ni interacción del usuario: Esto permite que un atacante logre la ejecución de código sin necesidad de elevar permisos ni esperar acciones del usuario víctima.
2. Componente de sistema comprometido: Al residir en un módulo central del sistema Android, un atacante exitoso podría afectar la estabilidad o el comportamiento general del dispositivo.
3. Uso de una biblioteca ampliamente adoptada: FreeType es una biblioteca de uso común, no solo en Android, sino también en Linux, Windows y otros entornos embebidos, ampliando el potencial de superficie de ataque.
4. Disponibilidad de ataques en curso: La explotación activa es una señal clara de que actores maliciosos ya han desarrollado y utilizado herramientas para aprovechar esta falla.

---

Recomendaciones de mitigación

? Para usuarios y empresas:

• Actualizar inmediatamente a la última versión de Android disponible.
• Aplicar el parche de seguridad correspondiente a mayo 2025.
• Verificar que la versión de FreeType sea 2.13.1 o superior, si se utiliza en entornos Linux, servidores o aplicaciones internas.
• Evitar abrir archivos de fuentes no confiables o de origen dudoso.

? Para administradores de TI y seguridad:

• Implementar el parche antes del 27 de mayo de 2025, especialmente si se trata de agencias gubernamentales o sectores críticos.
• Utilizar herramientas de escaneo de dependencias (como Snyk, Trivy, etc.) para detectar versiones vulnerables de FreeType en contenedores y código fuente.
• Monitorizar los sistemas por posibles indicadores de compromiso (IoCs) relacionados con uso anómalo de fuentes TrueType GX.
• Educar a los usuarios sobre los riesgos de archivos de fuentes personalizados o sospechosos.

---

CVE-2025-27363 representa una amenaza significativa para usuarios de Android y cualquier sistema que utilice la biblioteca FreeType. Su capacidad para permitir ejecución de código sin permisos, su explotación activa en el mundo real y su presencia en versiones ampliamente utilizadas de Android hacen que esta vulnerabilidad requiera una acción inmediata.

La rápida adopción de los parches ofrecidos por Google y los mantenedores de FreeType es esencial para mitigar el riesgo. Además, este caso subraya la necesidad continua de prácticas rigurosas de gestión de vulnerabilidades en entornos modernos.

?️ #Ciberseguridad ? #Android ? #Vulnerabilidad ⚠️ #CVE202527363 ? #SeguridadInformática ? #GestiónDeRiesgos ? #ActualizacionesCríticas ? #FreeType ? #AlertaDeSeguridad ? #CódigoAbierto