Ejecución Remota de Código "Zero-Click" en Android
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) emite una alerta de severidad CRÍTICA sobre una vulnerabilidad en el componente de decodificación de audio Dolby Digital Plus (DD+) integrado en el sistema operativo Android.
Esta falla, identificada como CVE-2025–54957, es particularmente peligrosa porque permite la Ejecución Remota de Código (RCE) mediante el envío de archivos de audio maliciosos. Lo más alarmante es que el ataque puede ejecutarse sin que el usuario interactúe con el archivo (ataque Zero-Click), bastando con que el sistema intente procesar o previsualizar el archivo multimedia.
Detalles Técnicos de la Vulnerabilidad
| Atributo | Detalle |
| Identificador CVE | CVE-2025–54957 |
| Severidad (Google) | CRÍTICA |
| Componente Afectado | Núcleo del decodificador universal de Dolby Digital Plus (DD+). |
| Tipo de Falla | Escritura fuera de los límites (Out-of-bounds Write). |
| Impacto Potencial | Control total del dispositivo. Un atacante puede ejecutar comandos con privilegios elevados de forma remota. |
Nota: Al ser una vulnerabilidad que no requiere interacción del usuario, aplicaciones que descargan o procesan contenido multimedia automáticamente (como apps de mensajería o navegadores) pueden servir como vectores de entrada sin que la víctima lo note.
📱 Productos Afectados y Mitigación
| Sistema Operativo | Versiones Vulnerables | Recomendación URGENTE |
| Android | Dispositivos con nivel de parche de seguridad anterior al 05 de enero de 2026. | Actualizar inmediatamente al parche de seguridad de enero de 2026 o superior. |
Instrucciones de Actualización
El CSIRT-UC insta a todos los usuarios a verificar y actualizar sus dispositivos siguiendo estos pasos:
- Vaya a Ajustes o Configuración de su dispositivo Android.
- Seleccione Sistema $\rightarrow$ Actualización del sistema (o Seguridad $\rightarrow$ Actualización de seguridad).
- Haga clic en Buscar actualizaciones.
- Descargue e instale el parche de seguridad correspondiente a enero de 2026.
- Reinicie el dispositivo para asegurar que los cambios en el núcleo del sistema surtan efecto.
Referencias Oficiales
- Boletín de Seguridad de Android (Enero 2026): https://source.android.com/docs/security/bulletin/2026/2026-01-01
- Reporte CVE en Tenable: https://www.tenable.com/cve/CVE-2025-54957
CSIRT - UC