Samsung parchea un 0-day crítico en medio de una avalancha de ataques

La empresa Samsung lanzó las actualizaciones de seguridad de septiembre para Android, corrigiendo una vulnerabilidad crítica de día cero que ya había sido utilizada por atacantes en ataques reales. Se trata de la vulnerabilidad CVE-2025-21043 con una puntuación de 8,8 en la escala CVSS. El fallo está relacionado con un desbordamiento de búfer en la biblioteca libimagecodec.quram.so y permite ejecutar de forma remota código arbitrario en los dispositivos.

En el comunicado oficial el fabricante surcoreano explicó que el problema se debía a una implementación incorrecta en libimagecodec.quram.so —una biblioteca cerrada para el procesamiento de imágenes creada por la empresa Quramsoft y que soporta una amplia gama de formatos gráficos. El mal funcionamiento del código provocaba escrituras fuera de la memoria asignada, lo que posibilitaba su explotación. La vulnerabilidad afecta a Android 13, 14, 15 y 16 y fue comunicada a Samsung en privado el 13 de agosto de 2025. En la actualización SMR September-2025 Release 1 se corrigió el error.

A pesar de que el fabricante confirmó la existencia de un exploit en ataques reales, no se revelaron detalles sobre cómo se llevan a cabo ni quiénes están detrás. Esta cautela es habitual cuando la investigación aún continúa o la publicación de detalles técnicos podría provocar nuevas oleadas de ataques.

Es interesante que la corrección de la vulnerabilidad se produjo poco después de que Google anunció la corrección de otras dos vulnerabilidades explotadas en Android — CVE-2025-38352 y CVE-2025-48543. En ambos casos también se trató de ataques dirigidos en los que las vulnerabilidades se usaron para obtener control sobre los dispositivos.

Septiembre fue un mes tenso para el ecosistema Android: varias vulnerabilidades graves se emplearon simultáneamente en ataques, y los fabricantes se vieron obligados a lanzar actualizaciones urgentes para proteger a los usuarios.