Múltiples vulnerabilidades en los productos Samsung

08/05/2025 Noticias 0

Samsung lanza una versión de mantenimiento para los principales modelos insignia como parte del proceso mensual de Publicación de Mantenimiento de Seguridad (SMR). Este paquete de SMR incluye parches de Google y Samsung. Un actor malicioso remoto podría explotar algunas de estas vulnerabilidades para activar condiciones de denegación de servicio, elevación de privilegios, ejecución remota de código y divulgación de información confidencial en el sistema objetivo.

Productos afectados

  • Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, Módem 5123, Módem 5300, Módem 5400
  • Galaxy Watch con Android Watch 14
  • Dispositivos móviles Samsung con Android 13, 14, 15

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-27363: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites en las versiones 2.13.0 y anteriores de FreeType al intentar analizar estructuras de subglifos de fuentes relacionadas con TrueType GX y archivos de fuentes variables. El código vulnerable asigna un valor de tipo corto con signo a un valor de tipo largo sin signo y, a continuación, añade un valor estático, lo que provoca un bucle y la asignación de un heap buffer demasiado pequeño, escribe entonces hasta 6 enteros de tipo largo con signo fuera de límites en relación con este búfer. Esto podría provocar la ejecución de código arbitrario.

CVE-202520957: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad en el control de acceso inadecuado en SmartManagerCN. Esta podría permitir a actores maliciosos locales iniciar actividades arbitrarias con el privilegio SmartManagerCN.

CVE-202520963: con una puntuación de 6.6 en CVSS v3.1. Existe una vulnerabilidad en la inicialización de escritura fuera de límites en memoria en libsavsvc.so. Esta podría permitir a actores maliciosos locales escribir fuera de límites en la memoria.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://semiconductor.samsung.com/support/quality-support/product-security-updates/

https://nvd.nist.gov/vuln/detail/CVE-2025-27363

https://nvd.nist.gov/vuln/detail/CVE-2025-20957

https://nvd.nist.gov/vuln/detail/cve-2025-20963

https://security.samsungmobile.com/securityUpdate.smsb

Compartir: