Què corregeix el butlletí
Google va publicar l’1 de juny de 2026 (amb una actualització el dia 3) el butlletí de seguretat mensual d’Android, que aplega unes 124 correccions repartides en dos nivells de pedaç: 2026-06-01 i 2026-06-05. El primer nivell concentra els errors del Framework i del System del mateix Android; el segon afegeix les correccions del kernel i dels components de chipset.
El que crida més l’atenció és CVE-2025-48595, una vulnerabilitat d’elevació de privilegis al component Framework. Google la classifica com a severitat Alta i, segons l’avís, hi ha indicis que pot estar sota explotació limitada i dirigida. No requereix cap interacció de l’usuari: un procés local amb permisos reduïts podria escalar fins a privilegis que no li corresponen sense que la víctima toqui res.
A qui afecta
L’error arriba a Android 14, 15, 16 i 16-QPR2. Això cobreix la majoria de telèfons amb suport actiu avui. Que es tracti d’una elevació de privilegis i no d’una execució remota vol dir que l’atacant ja necessita certa presència al dispositiu, normalment una aplicació maliciosa instal·lada o una cadena d’exploits prèvia. A partir d’aquí, CVE-2025-48595 li serveix per guanyar terreny cap al sistema.
La resta del paquet no és menor. Al nivell 2026-06-01 hi ha diverses vulnerabilitats crítiques al Framework i al System, amb mòduls com DNG SDK (processament d’imatges) i Bluetooth entre els punts sensibles. El nivell 2026-06-05 hi suma una correcció de kernel i un bon nombre d’errors als chipsets: Qualcomm (inclòs el seu codi tancat, amb tres crítiques), MediaTek al mòdem, geniezone i preloader, Unisoc amb quinze errors de mòdem i Imagination Technologies a la GPU PowerVR.
Gravetat
El zero-day sota explotació és CVE-2025-48595, de severitat Alta. El greu aquí no és tant la puntuació com el fet que ja s’estigui fent servir contra objectius concrets sense demanar interacció. Més amunt a l’escala, les crítiques del Framework i dels components tancats de Qualcomm tenen més potencial teòric de dany, però no consten com a explotades. La combinació habitual en aquests casos és la que preocupa: un atacant encadena un error d’entrada amb CVE-2025-48595 per acabar amb privilegis elevats.
Mitigació
No hi ha configuració alternativa que substitueixi el pedaç. L’única via és actualitzar a un nivell de pedaç de seguretat 2026-06-05 o posterior, que cobreix tots els errors d’aquest nivell i dels anteriors. Per comprovar la teva situació, mira a Configuració > Seguretat el valor del nivell de pedaç; a ro.build.version.security_patch hauria de constar 2026-06-01 o 2026-06-05. Bona part de les correccions del Framework i del System també arriben per Google Play system updates a Android 10 i superiors, sense esperar la imatge completa del fabricant.
Si el teu telèfon ja no rep actualitzacions, aquest butlletí recorda per què el suport importa: un dispositiu sense pedaços queda exposat a un error que s’està explotant ara mateix. Per entendre millor la relació entre Android i el kernel sobre el qual corre, pots llegir Android: el Linux més usat del món.