El boletín de seguridad de Android correspondiente a septiembre de 2025 ya está disponible, abordando un total de 84 vulnerabilidades, entre ellas cuatro catalogadas como críticas y dos fallos de día cero que están siendo explotados activamente.
Según el informe más reciente de Google, las vulnerabilidades CVE-2025-38352 y CVE-2025-48543 ya se encuentran bajo explotación en ataques reales. Ambas permiten elevación de privilegios locales, lo que significa que un atacante podría obtener acceso privilegiado al sistema sin requerir permisos especiales ni interacción del usuario. En concreto, se trata de un error en el kernel y una falla en el entorno de ejecución que permiten a aplicaciones maliciosas evadir las protecciones de la sandbox y obtener control elevado sobre el dispositivo.
Aunque Google no ha compartido detalles sobre el alcance de los ataques o si ambas vulnerabilidades fueron utilizadas de forma combinada, ha reconocido que hay evidencia de explotación “limitada y dirigida”. Por esta razón, se recomienda instalar el parche de seguridad cuanto antes.
Más correcciones críticas y mejoras en varios componentes
Además de los días cero, el boletín corrige cuatro vulnerabilidades críticas, incluida CVE-2025-48539, considerada la más grave. Este fallo permite ejecución remota de código (RCE) a través de Bluetooth o Wi-Fi, sin necesidad de intervención del usuario ni permisos especiales. En otras palabras, un atacante cercano podría ejecutar código malicioso en un dispositivo Android sin que el usuario haga nada.
El parche también soluciona fallos en múltiples componentes de hardware y software, como los de Qualcomm, MediaTek, ARM e Imagination Technologies, que van desde fallas de denegación de servicio y divulgación de información, hasta vulnerabilidades de escalada de privilegios y ejecución remota de código.
¿Qué dispositivos están cubiertos?
Las actualizaciones de septiembre están disponibles para dispositivos que ejecutan Android 13 hasta Android 16, y llevan las fechas de compilación 2025-09-01 y 2025-09-05. Para obtener todas las correcciones incluidas, se recomienda instalar la compilación con fecha 2025-09-05.
Google ya ha lanzado estas actualizaciones para sus dispositivos Pixel, y el código ha sido enviado a AOSP (Android Open Source Project). Sin embargo, fabricantes como Samsung, Motorola o Nokia gestionan sus propios calendarios de distribución, por lo que la disponibilidad puede variar según la marca y el modelo.
Cómo comprobar si tienes la actualización
Para verificar si tu dispositivo ya recibió el parche, ve a:
Configuración > Seguridad y privacidad > Sistema y actualizaciones > Actualización de seguridad,
y sigue las instrucciones para descargar e instalar cualquier actualización disponible.
