Google ha enviado parches para solucionar 47 fallos de seguridad en su sistema operativo Android, incluido uno que, según afirma, se ha explotado activamente.

La vulnerabilidad en cuestión es CVE-2024-53104 (puntuación CVSS: 7,8), que se ha descrito como un caso de escalada de privilegios en un componente del núcleo conocido como el controlador USB Video Class (UVC).

La explotación exitosa del fallo podría conducir a una escalada física de privilegios, dijo Google, señalando que es consciente de que puede estar bajo «explotación limitada y dirigida».

Aunque no se han ofrecido más detalles técnicos, el desarrollador del kernel de Linux Greg Kroah-Hartman reveló a principios de diciembre de 2024 que la vulnerabilidad tiene su raíz en el kernel de Linux y que se introdujo en la versión 2.6.26, que se lanzó a mediados de 2008.

En concreto, tiene que ver con una condición de escritura fuera de límites que podría surgir como resultado del análisis de marcos de tipo UVC_VS_UNDEFINED en una función denominada «uvc_parse_format()» en el programa «uvc_driver.c».

Esto también significa que la falla podría utilizarse como arma para provocar corrupción de memoria, bloqueo del programa o ejecución de código arbitrario.

Actualmente no está claro quién está detrás de la explotación de la vulnerabilidad, aunque el hecho de que pudiera facilitar la escalada de privilegios «físicos» sugiere un posible uso indebido por parte de herramientas de extracción de datos forenses, según GrapheneOS.

También se ha corregido como parte de las actualizaciones de seguridad mensuales de Google una falla crítica en el componente WLAN de Qualcomm (CVE-2024-45569, puntuación CVSS: 9,8) que también podría provocar daños en la memoria.

Vale la pena señalar que Google ha publicado dos niveles de parches de seguridad, 2025-02-01 y 2025-02-05, para dar flexibilidad a los socios de Android para que aborden una parte de las vulnerabilidades que son similares en todos los dispositivos Android con mayor rapidez.