Samsung ha lanzado sus actualizaciones de seguridad de septiembre de 2025, abordando una vulnerabilidad crítica zero-day que, según informes, ha sido explotada activamente, lo que subraya los riesgos continuos para los usuarios móviles.

La falla, identificada como CVE-2025-21043 con una puntuación CVSS de 8.8, es un problema de escritura fuera de límites en la biblioteca libimagecodec.quram.so de Samsung, un componente utilizado por aplicaciones para procesar imágenes. La explotación exitosa podría permitir que los atacantes ejecuten código arbitrario en los dispositivos afectados.

Según Samsung, la vulnerabilidad fue reportada por Meta y WhatsApp el 13 de agosto, y hay indicios de que se aprovechó activamente, posiblemente apuntando a usuarios de WhatsApp. Aunque la compañía no ha publicado detalles técnicos completos, su aviso confirma la gravedad y la explotación en el mundo real.

Este problema es similar a una vulnerabilidad recientemente divulgada en Apple (CVE-2025-43300) dentro del framework ImageIO, que, combinada con otra falla de WhatsApp (CVE-2025-55177), permitió campañas sofisticadas de spyware dirigidas a usuarios específicos. Tanto usuarios de iOS como de Android, especialmente miembros de la sociedad civil, periodistas y defensores de derechos humanos, podrían haber sido afectados, probablemente por operadores de spyware comercial.

Los expertos señalan que el zero-day de Samsung probablemente permitía a los atacantes explotar vulnerabilidades en el código a nivel de sistema operativo utilizado por aplicaciones de mensajería como WhatsApp, permitiendo ejecución remota de código en los dispositivos. El parche soluciona este riesgo y enfatiza la importancia de mantener los dispositivos actualizados con las últimas correcciones de seguridad.

Se recomienda encarecidamente a organizaciones e individuos instalar de inmediato las últimas actualizaciones de Samsung para prevenir posibles compromisos por parte de atacantes que exploten esta vulnerabilidad.

Fuente: https://www.securityweek.com/samsung-patches-zero-day-exploited-against-android-users