Un fallo de alta gravedad en el Unified Decoder de Dolby afecta a dispositivos Android, posibilitando ataques remotos sin interacción del usuario. El bug, ya corregido, pone en jaque la seguridad de audio y multimedia en móviles y otros sistemas. La reciente vulnerabilidad CVE-2025-54957 en el decodificador de audio Dolby expone un riesgo significativo, especialmente en Android. Identificada por investigadores de Google Project Zero, el fallo afecta a la gestión de archivos multimedia, permitiendo la ejecución de código de forma remota y sin requerir interacción del usuario. Dolby Unified Decoder es ampliamente usado en móviles, ordenadores y sistemas multimedia para interpretar formatos DD+ y otros estándares de audio avanzados.El componente vulnerable, el Unified Decoder de Dolby, presenta un fallo de escritura fuera de límites (out-of-bounds write) cuando procesa datos de evolución en archivos de audio. Un defectuoso cálculo de la longitud puede desembocar en un buffer insuficiente, facilitando que el atacante sobrescriba partes críticas del sistema en memoria. Según los expertos, CVE-2025-54957 puede ser explotada mediante archivos de audio especialmente diseñados, lo que permite a un atacante ejecutar código remota y silenciosamente en el contexto de mediacodec en Android, o provocar fallos (crash) en macOS y iOS.El impacto es especialmente grave en Android, donde la explotación es zero-click: no es necesario que el usuario interactúe con el archivo malicioso. Basta con que el dispositivo reciba un mensaje de audio o adjunto, ya que el decodificador procesa el audio automáticamente. Esto habilita ataques de remote code execution (RCE) y es especialmente peligroso en modelos como Pixel 9 y Samsung S24, donde los investigadores han demostrado efectividad.Las actualizaciones ya se han publicado para Android, Windows y ChromeOS. Los usuarios deben aplicar cuanto antes los parches distribuidos por fabricantes y asegurarse de que sus sistemas y aplicaciones multimedia están al día. Es recomendable no abrir archivos de audio de procedencia desconocida y, para administradores, supervisar logs y alertas de actividad anómala en sistemas sensibles.La explotación de este bug sin interacción supone un cambio de paradigma para la protección multimedia. Mantener los sistemas actualizados, aplicar las correcciones y estar atentos a recomendaciones oficiales es esencial para reducir el riesgo de ataques silenciosos mediante archivos de audio.Más informaciónCVE-2025-54957 (NVD)Vulnerability in Dolby Decoder Can Allow Zero-Click Attacks (SecurityWeek)La entrada Fallo crítico en Dolby Decoder permite ataques zero-click en Android se publicó primero en Una Al Día.