Samsung ha solucionado una falla crítica que afecta sus dispositivos Android, pero no antes de que los atacantes encontraran y explotaron el error, lo que podría permitir la ejecución del código remoto en los dispositivos afectados. La vulnerabilidad, rastreada como CVE-2025-21043, afecta las versiones de Android OS 13, 14, 15 y 16. Se debe a una vulnerabilidad de escritura fuera de los límites en libimageCodec.quram.so, una biblioteca de análisis utilizada para procesar formatos de imagen en los dispositivos Samsung, que los atacantes remotos pueden abusar de ejecutar código malicioso. «Samsung se notificó que una exploit para este problema ha existido en la naturaleza», señaló el gigante de la electrónica en su actualización de seguridad de septiembre. Los equipos de seguridad de Meta y WhatsApp encontraron la falla y se lo informaron a Samsung el 13 de agosto. Aplicaciones que procesan imágenes en el kit Samsung, que potencialmente incluye WhatsApp, puede desencadenar esta biblioteca, pero Samsung no nombró aplicaciones específicas. La advertencia es interesante, porque Meta poco después emitió una advertencia de asesoramiento de seguridad de que los atacantes pueden haber encadenado un error de WhatsApp con un defecto de nivel del sistema operativo Apple en ataques altamente específicos. La actualización de seguridad de WhatsApp August incluyó una solución para CVE-2025-55177 que, como explicó Meta, «podría haber permitido que un usuario no relacionado activara el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo». Ese aviso de seguridad continuó: «Evaluamos que esta vulnerabilidad, en combinación con una vulnerabilidad de nivel del sistema operativo en las plataformas de Apple (CVE-2025-43300), puede haber sido explotada en un ataque sofisticado contra usuarios específicos específicos». CVE-2025-43300 es un problema de escritura fuera de los límites que Apple abordó el 20 de agosto con un parche que mejora la verificación de límites en el marco ImageIO. «Procesar un archivo de imagen malicioso puede dar lugar a la corrupción de la memoria», dijo el fabricante de iThings en ese momento. «Apple es consciente de un informe de que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos específicos». Si bien Meta no mencionó el nuevo defecto de nivel de AG de Android en su actualización de seguridad de WhatsApp de agosto, parece que CVE-2025-21043 también podría estar encadenado a CVE-2025-55177 para un ataque similar dirigido a usuarios de Whatsapp en dispositivos Samsung Android en lugar de Apple. Samsung no respondió de inmediato, y Meta se negó a responder las preguntas del registro, incluido si CVE-2025-21043 se usó en ataques dirigidos a usuarios de WhatsApp con teléfonos Samsung. Sin embargo, según una fuente familiarizada con el asunto, una vulnerabilidad de escritura fuera de los límites en una biblioteca en particular en los dispositivos Samsung puede haber sido explotado para apuntar a los usuarios de WhatsApp y ejecutar de forma remota el código en sus dispositivos. En las alertas de agosto, ni Meta ni Apple detallaron quién estaba detrás de estas intrusiones. Las palabras de las compañías, «un ataque extremadamente sofisticado contra individuos específicos específicos», junto con una advertencia similar del jefe de seguridad de Amnistía Internacional, sugieren que un proveedor de vigilancia comercial es culpable. Donncha ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional, el 29 de agosto sonó la alarma en una exploit de clic cero que se usaba para piratear a los usuarios de Whatsapp. «Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, a los individuos de la sociedad civil entre ellos», dijo en las redes sociales. «Nuestro equipo en el Laboratorio de Seguridad de Amnistía Internacional está investigando activamente casos con varias personas dirigidas en esta campaña». ® URL de publicación original: https://go.theeregister.com/feed/www.theregister.com/2025/09/12/samsung_fixes_android_0day/