Apple lanzó el lunes actualizaciones de seguridad para sus navegadores web iOS, macOS y Safari que abordan más de 30 fallas, incluidas cuatro vulnerabilidades de WebKit descubiertas utilizando herramientas de inteligencia artificial (IA) como Anthropic Claude y OpenAI Codex Security.
Las vulnerabilidades de WebKit se enumeran a continuación.
CVE-2026-43707: un problema de corrupción de memoria que puede provocar una falla inesperada del proceso al procesar contenido web creado con fines malintencionados. Este problema se solucionó mejorando el manejo de la memoria. CVE-2026-43716: Problema no especificado que puede provocar un bloqueo inesperado de Safari al procesar contenido web creado con fines malintencionados. Este problema se solucionó mejorando el manejo de la memoria. CVE-2026-43745: Problema de escritura fuera de límites que puede provocar un bloqueo inesperado de Safari al procesar contenido web creado con fines malintencionados. Este problema se solucionó mediante una validación de entrada mejorada. CVE-2026-43715: un problema de uso después de la liberación que puede provocar daños en la memoria al procesar contenido web creado con fines malintencionados. Este problema se solucionó mediante una gestión de memoria mejorada.
Apple atribuyó los primeros tres fallos de seguridad a OpenAI Codex Security, y CVE-2026-43715 a los antropólogos Milad Nasr y Nicholas Carlini, y a Claude.
Las cuatro vulnerabilidades son parte de casi 30 vulnerabilidades parcheadas en WebKit, un motor de navegador web de código abierto desarrollado por Apple. Otros incluyen un problema de uso después de la liberación en WebKit Canvas (CVE-2026-43720) y una vulnerabilidad que podrían aprovechar sitios web maliciosos para manejar contenido web restringido fuera del entorno de pruebas (CVE-2026-43725).
Apple también corrigió tres errores que una aplicación maliciosa podría aprovechar para filtrar el estado sensible del kernel (CVE-2026-43722), provocar una terminación inesperada del sistema o escribir en la memoria del kernel (CVE-2026-43724) o corrupción de la memoria del kernel (CVE-2026-39868). Al investigador de seguridad Hyunwoo Kim, quien descubrió Dirty Frag, se le atribuye el descubrimiento y reporte de CVE-2026-43724 y CVE-2026-43722.
Esta actualización está disponible para iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 y Safari 26.5.2. Se ha revelado que ninguna de las vulnerabilidades parcheadas haya sido explotada activamente en la naturaleza.
En una declaración compartida con Reuters, Apple dijo que publicaría actualizaciones de seguridad mucho más rápido que antes en respuesta a las preocupaciones de que las herramientas de inteligencia artificial pudieran acelerar el desarrollo de exploits y servir como facilitadores de la guerra cibernética, reduciendo a horas el tiempo desde el descubrimiento hasta el armamento.
La compañía se está «adaptando a la realidad de que, dada la capacidad de la inteligencia artificial para acelerar el desarrollo de herramientas de piratería maliciosas, es necesario reducir el tiempo entre el momento en que se publica una actualización y el momento en que llega a manos de los clientes», informó Reuters.
Source link
