Apple lanzó el viernes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS, visionOS y su navegador web Safari para abordar dos fallas de seguridad que la compañía anunció que estaban siendo explotadas en la naturaleza. Uno de ellos es el mismo defecto que Google parchó en Chrome a principios de esta semana.
Las vulnerabilidades se enumeran a continuación.
CVE-2025-43529 (Puntuación CVSS: N/A): vulnerabilidad de uso después de la liberación en WebKit que puede provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. CVE-2025-14174 (Puntuación CVSS: 8,8): Problema de corrupción de memoria en WebKit que puede provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
Apple dijo que era consciente de que la falla «podría haber sido explotada en ataques altamente sofisticados contra objetivos específicos en versiones de iOS anteriores a iOS 26».
Vale la pena señalar que CVE-2025-14174 es la misma vulnerabilidad para la que Google emitió un parche para su navegador Chrome el 10 de diciembre de 2025. El gigante tecnológico describe la vulnerabilidad como un acceso a memoria fuera de los límites en su biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE), específicamente el renderizador Metal.
A Apple Security Engineering and Architecture (SEAR) y Google Threat Analysis Group (TAG) se les atribuye el descubrimiento e informe de esta falla, y Apple le da crédito a TAG por descubrir CVE-2025-43529.
Esto indica que es probable que ambas vulnerabilidades hayan sido utilizadas como arma en ataques de software espía mercenario dirigidos, dado que ambas vulnerabilidades afectan a WebKit, el motor de renderizado que también utilizan todos los navegadores web de terceros en iOS y iPadOS, incluidos Chrome, Microsoft Edge, Mozilla Firefox y más.
Este defecto ha sido solucionado en las siguientes versiones y dispositivos:
iOS 26.2 y iPadOS 26.2: iPhone 11 o posterior, iPad Pro de 12,9 pulgadas de 3.ª generación o posterior, iPad Pro de 11 pulgadas de 1.ª generación o posterior, iPad Air de 3.ª generación o posterior, iPad de 8.ª generación o posterior, iPad mini de 5.ª generación o posterior iOS 18.7.3 y iPadOS 18.7.3: iPhone XS o posterior, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas o posterior 3.ª generación o posterior, iPad Pro de 11 pulgadas 1.ª generación o posterior, iPad Air 3.ª generación o posterior, iPad 7.ª generación o posterior, iPad mini 5.ª generación o posterior macOS Tahoe 26.2 – macOS Tahoe tvOS 26.2 – Apple TV HD y Apple TV 4K (todos los modelos) watchOS 26.2 – visionOS 26.2 para Apple Watch Series 6 o posterior – Apple Vision Pro (todos los modelos) Safari 26.2 – Mac ejecutando macOS Sonoma y macOS Sequoia
Con estas actualizaciones, Apple ha identificado nueve vulnerabilidades de día cero que fueron explotadas en estado salvaje en 2025: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200, CVE-2025-43300.
Source link
