Por Mid 
Fallo crítico en Dolby Decoder permite ataques zero-click en Android – Una Al Día
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Intermedia
Conclusiones clave
- Fallo de seguridad en el Unified Decoder de Dolby permite la ejecución remota de código sin interacción del usuario.
- Catalogado como CVE-2025-54957, afecta especialmente a dispositivos Android y permite ataques zero-click.
- La explotación puede llevar a bloqueos en sistemas macOS y iOS, pero el riesgo es mayor en Android.
- Se recomienda a los usuarios instalar actualizaciones de seguridad y no abrir archivos de audio de fuentes desconocidas.
- Administradores de sistemas deben supervisar registros y alertas de actividad inusual.
Índice
- Impacto en dispositivos Android
- Detalles de la vulnerabilidad CVE-2025-54957
- Prevención y recomendaciones
Impacto en dispositivos Android
Un serio fallo de seguridad en el Unified Decoder de Dolby impacta a dispositivos Android, haciéndolos susceptibles a ataques remotos que no requieren interacción del usuario. Este error, ya solucionado, compromete la seguridad de las funciones de audio y multimedia en teléfonos móviles y otros dispositivos. La vulnerabilidad reciente, catalogada como CVE-2025-54957, afecta al decodificador de audio de Dolby y representa un riesgo considerable, especialmente en el ecosistema Android.
Detalles de la vulnerabilidad CVE-2025-54957
Detectada por los investigadores de Google Project Zero, la vulnerabilidad se relaciona con la gestión de archivos multimedia. Esta falla permite la ejecución remota de código sin que el usuario tenga que interactuar. El Dolby Unified Decoder se utiliza extensamente en teléfonos móviles, computadoras y sistemas multimedia para interpretar formatos como DD+ y otros estándares avanzados de audio.
El componente comprometido, el Unified Decoder de Dolby, presenta un problema de escritura fuera de límites (out-of-bounds write) al procesar datos específicos en archivos de audio. Un cálculo erróneo de la longitud puede resultar en un buffer inadecuado, lo que permite que un atacante sobrescriba partes críticas del sistema en la memoria.
Expertos han señalado que CVE-2025-54957 se puede explotar mediante archivos de audio diseñados para tal fin, lo que posibilita a un atacante ejecutar código de manera remota y silenciosa en el contexto de mediacodec de Android, o provocar bloqueos (crashes) en sistemas macOS y iOS.
La gravedad del impacto es mayor en Android, donde se establece la explotación como zero-click: no es necesario que el usuario abra el archivo malicioso. Simplemente al recibir un mensaje de audio o un archivo adjunto, el decodificador procesa el audio automáticamente.
Prevención y recomendaciones
Esta situación permite llevar a cabo ataques de ejecución remota de código (RCE), siendo particularmente peligrosa en dispositivos como el Pixel 9 y el Samsung S24, en los que se ha verificado la efectividad de la explotación. Las actualizaciones necesarias ya han sido publicadas para Android, Windows y ChromeOS.
Se recomienda a los usuarios que instalen de inmediato los parches ofrecidos por los fabricantes y se aseguren de que sus sistemas y aplicaciones multimedia estén actualizados. Es aconsejable evitar abrir archivos de audio de fuentes desconocidas y, para los administradores de sistemas, es crucial supervisar registros y alertas de actividad inusual en sistemas que son vulnerables. La posibilidad de explotar esta vulnerabilidad sin necesidad de interacción del usuario implica un cambio significativo en la forma en que se protege el contenido multimedia.
Para minimizar el riesgo de ataques silenciosos mediante archivos de audio, es fundamental mantener los sistemas actualizados, aplicar las correcciones y seguir las recomendaciones oficiales al pie de la letra.