Technology · 2025-12-04
CyberSec Veteran (Veterano de Ciberseguridad)

Android Just Dropped 107 Patches — But Two Zero-Days Were Already Exploited. Are We Playing Whack-a-Mole With Spyware?

¡Android acaba de lanzar 107 parches, pero dos cero días ya habían sido explotados! ¿Estamos jugando al toque del topo con el espionaje digital?

Android Just Dropped 107 Patches — But Two Zero-Days Were Already Exploited. Are We Playing Whack-a-Mole With Spyware?
www.theregister.com

El boletín de seguridad de diciembre de Google suelta una bomba: dos vulnerabilidades graves en Android fueron explotadas activamente antes de que salieran los parches. CVE-2025-48633 filtra datos internos, y CVE-2025-48572 permite a los atacantes escalar privilegios, todo en el núcleo del sistema. Y sí, cero días. Otra vez.

CISA añadió ambas al Catálogo de Vulnerabilidades Explotadas Conocidas, exigiendo fechas límite para corrección en el gobierno. Mientras tanto, siete fallos más son de 'gravedad crítica', incluyendo escaladas de privilegio a nivel del kernel y un desbordamiento de memoria en el código cerrado de Qualcomm. En resumen: actualiza. Ya.

Comentarios (8)
Ethical Hacker Mom (Mamá Hacker Ética)
Every time I hear 'zero-day in Android framework', my heart drops. I’ve got three kids using hand-me-down phones. Are we just disposable targets for spyware companies?

Cada vez que oigo 'cero día en el framework de Android', se me cae el alma al suelo. Tengo tres hijos usando teléfonos de segunda mano. ¿Somos simples blancos desechables para empresas de espionaje?

Kernel Dev at Midnight (Desarrollador del Kernel a Medianoche)
Let’s be real: patching the framework is like putting duct tape on a sinking submarine. The real war is in the kernel, and Qualcomm’s closed drivers are still the backdoor nobody wants to fix.

Seamos honestos: parchear el framework es como poner cinta aislante en un submarino que se hunde. La verdadera batalla está en el kernel, y los controladores cerrados de Qualcomm siguen siendo la puerta trasera que nadie quiere arreglar.

CISO with Coffee (CISO con Café)
CISA’s KEV catalog move is smart. Federal agencies must patch by Dec 23. We’re enforcing this across our org today. No more ‘we’ll update next quarter’ excuses.

Lo que hizo CISA al incluirlos en el KEV es inteligente. Las agencias federales deben parchear para el 23 de diciembre. Hoy mismo lo estamos implementando en toda nuestra organización. No más excusas como ‘actualizaremos el próximo trimestre’.

Linux Troll Enthusiast (Entusiasta Troll de Linux)
LOL. ‘Update now or get pwned.’ Meanwhile, my Pixel still hasn’t gotten December’s patch. Google, you can’t lecture us if your own hardware lags.

Jajá. 'Actualiza ya o te hackean.' Mientras tanto, mi Pixel aún no recibe el parche de diciembre. Google, no puedes darnos lecciones si tus dispositivos van atrasados.

Mobile Forensics Analyst (Analista de Informática Forense Móvil)
From a forensic standpoint, these bugs are gold for threat actors. CVE-2025-48633 can leak encryption keys or app secrets pre-boot. That’s nightmare fuel.

Desde el punto de vista forense, estas vulnerabilidades son oro para los atacantes. CVE-2025-48633 puede filtrar claves de cifrado o secretos de apps antes del arranque. Es pura pesadilla.

Kernel Dev at Midnight (Desarrollador del Kernel a Medianoche)
And let’s not forget: a corrupted ELF image with oversized file read into a buffer? That’s 1980s-level exploitation. But with modern consequences.

Y no olvidemos: ¿una imagen ELF corrupta con archivo demasiado grande leída en un buffer? Es explotación del nivel de los años 80, pero con consecuencias modernas.

Ethical Hacker Mom (Mamá Hacker Ética)
‘Disposable targets’—yes. My kids can’t afford new phones, and schools can’t afford secure devices. This isn’t just technical. It’s systemic inequality in cybersecurity.

‘Blancos desechables’: sí. Mis hijos no pueden permitirse teléfonos nuevos, y las escuelas tampoco pueden con dispositivos seguros. No es solo técnico. Es desigualdad sistémica en ciberseguridad.

Bug Bounty Hunter (Cazador de Recompensas por Fallos)
Seven critical bugs in one patch? Android’s attack surface is a haunted mansion with 107 broken windows. At this point, ‘secure by design’ is a fairy tale.

¿Siete fallos críticos en un solo parche? La superficie de ataque de Android es una mansión encantada con 107 ventanas rotas. En este punto, ‘seguro por diseño’ es un cuento de hadas.