vulnerabilidad en el decodificador dolby permite ataques zero click

Vulnerabilidad en el decodificador Dolby permite ataques zero-click

PorCarlos Ribeiro

La ciberseguridad a veces parece un juego del gato y el ratón, pero cuando aparece una vulnerabilidad como la recién descubierta en el decodificador unificado de Dolby, el asunto se pone bastante serio. Este fallo de seguridad no es uno cualquiera: permite ejecutar código remotamente sin que el usuario tenga que hacer absolutamente nada. Sí, has leído bien, sin hacer clic en nada.

Qué es exactamente esta vulnerabilidad y por qué importa

La vulnerabilidad, catalogada como CVE-2025-54957 con una puntuación CVSS de 7.0 (alta gravedad), afecta al Decodificador Unificado de Dolby. Para quien no esté familiarizado, este componente procesa formatos de audio como Dolby Digital Plus (DD+) y Dolby AC-4, convirtiéndolos en formatos reproducibles por los altavoces de nuestros dispositivos.

El problema reside en un error de escritura fuera de límites que puede desencadenarse durante el procesamiento de datos de evolución. En cristiano: el decodificador calcula mal el tamaño que necesita para almacenar cierta información, lo que provoca que escriba datos donde no debería. Esto permite sobrescribir partes críticas de la memoria, incluyendo punteros que se utilizan al procesar el siguiente frame.

Ataque sin interacción: el escenario más preocupante

Lo verdaderamente alarmante de este fallo es que en dispositivos Android, la vulnerabilidad puede explotarse remotamente sin que el usuario haga absolutamente nada. ¿Cómo? Pues porque todos los mensajes y adjuntos de audio en Android se decodifican localmente utilizando el Decodificador Unificado de Dolby.

Imagina recibir un mensaje de audio aparentemente normal que, sin siquiera reproducirlo, puede ejecutar código malicioso en tu dispositivo. No es ciencia ficción ni una trama de película: los investigadores de Google Project Zero han demostrado que esto es posible creando pruebas de concepto que provocan fallos en dispositivos Pixel 9, Samsung S24, e incluso en macOS e iOS.

Los cerebros detrás del descubrimiento

Esta vulnerabilidad no la encontró cualquiera. Fueron Ivan Fratric y Natalie Silvanovich, del equipo Google Project Zero, quienes descubrieron y documentaron meticulosamente este fallo. Este equipo tiene una reputación impecable en el mundo de la seguridad informática, dedicándose a encontrar vulnerabilidades zero-day (desconocidas hasta ese momento) en software ampliamente utilizado.

Lo más impresionante es que lograron demostrar la explotación completa: «Hemos investigado la explotabilidad de este fallo en Android, y hemos conseguido ejecución de código sin interacción del usuario en el contexto de mediacodec en un Pixel 9 con la versión 16 BP2A.250605.031.A2», explica Silvanovich.

El proceso de divulgación y los parches

Google Project Zero informó del fallo a Dolby Laboratories en junio de este año, siguiendo su política habitual de divulgación responsable. Esperaron el periodo estándar de 90 días antes de hacer pública la información, dando tiempo a Dolby y a los fabricantes para implementar soluciones.

Microsoft, por su parte, ya ha abordado la vulnerabilidad en su actualización de Patch Tuesday de octubre, aunque aclara que en Windows se requiere interacción del usuario para que la explotación tenga éxito. Google también ha confirmado que las últimas actualizaciones de ChromeOS incluyen parches para este problema.

¿Estoy protegido?

Si te preocupa esta vulnerabilidad (y deberías), lo primero que debes hacer es asegurarte de que todos tus dispositivos estén actualizados. Esto incluye:

  • Smartphones Android: Actualiza a los últimos parches de seguridad
  • Windows: Instala las actualizaciones de octubre de 2025
  • macOS e iOS: Actualiza a las versiones más recientes
  • ChromeOS: Asegúrate de tener las últimas actualizaciones

Más allá de Dolby: el panorama actual de vulnerabilidades

Este tipo de fallos de seguridad no son casos aislados. Durante 2025 hemos visto un aumento significativo en el descubrimiento de vulnerabilidades zero-day de alto impacto. Hace solo unas semanas, Microsoft asignó la puntuación de gravedad «más alta jamás vista» a una vulnerabilidad en ASP.NET Core.

La tendencia parece clara: a medida que nuestros dispositivos se vuelven más complejos e interconectados, la superficie de ataque aumenta. Los decodificadores multimedia, como el de Dolby, son componentes fundamentales en prácticamente todos los dispositivos modernos, lo que los convierte en objetivos perfectos para actores maliciosos.

Lo irónico es que componentes como el Decodificador Unificado de Dolby están diseñados para mejorar nuestra experiencia, para hacernos disfrutar mejor del contenido multimedia. Y aquí estamos, hablando de cómo pueden utilizarse para comprometer completamente nuestros dispositivos.

Para mí, este caso es un recordatorio de que la seguridad debe ser una prioridad en cada capa de software que utilizamos, incluso en aquellas que parecen inofensivas como un simple decodificador de audio. Y sobre todo, de que mantener nuestros sistemas actualizados ya no es una recomendación: es una necesidad.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *