Apple ha lanzado actualizaciones de seguridad de emergencia para corregir un fallo de día cero que la compañía describe como explotado en “ataques extremadamente sofisticados”.
La vulnerabilidad, rastreada como CVE-2025-24201, fue encontrada en WebKit, el motor de navegador multiplataforma utilizado por el navegador Safari de Apple y muchas otras aplicaciones y navegadores web en macOS, iOS, Linux y Windows.
Detalles sobre la vulnerabilidad
Apple ha indicado que esta vulnerabilidad es una escritura fuera de los límites (out-of-bounds write) que puede ser explotada por los atacantes mediante contenido web malicioso para salir del sandbox de WebKit.
- Apple explicó que este es un parche complementario para un ataque que ya había sido bloqueado en iOS 17.2.
- “Apple está al tanto de un informe de que este problema podría haber sido explotado en ataques extremadamente sofisticados dirigidos a individuos específicos en versiones de iOS anteriores a iOS 17.2.”
Apple no ha publicado más detalles sobre cómo fueron realizados estos ataques sofisticados, ni ha atribuido el descubrimiento de esta vulnerabilidad a alguno de sus investigadores.
Dispositivos afectados
Esta vulnerabilidad afecta a una amplia gama de dispositivos Apple, incluyendo tanto modelos nuevos como más antiguos:
- iPhone XS y posteriores
- iPad Pro (13 pulgadas, 12.9 pulgadas 3ra generación y versiones posteriores, iPad Pro 11 pulgadas 1ra generación y versiones posteriores, iPad Air 3ra generación y versiones posteriores, iPad 7ª generación y versiones posteriores, iPad mini 5ª generación y versiones posteriores)
- Macs con macOS Sequoia
- Apple Vision Pro ️
Actualizaciones de seguridad lanzadas ️
Apple ha corregido esta vulnerabilidad en las siguientes versiones:
- iOS 18.3.2
- iPadOS 18.3.2
- macOS Sequoia 15.3.2
- visionOS 2.3.2
- Safari 18.3.1
Recomendación de seguridad ⚠️
Aunque es probable que este fallo haya sido explotado solo en ataques dirigidos y no en ataques masivos, Apple recomienda instalar las actualizaciones de seguridad de inmediato para bloquear posibles intentos de ataque en curso.
Historial de vulnerabilidades de Apple
Con esta nueva corrección, Apple ha solucionado tres vulnerabilidades de día cero desde el inicio del año:
- La primera en enero (CVE-2025-24085)
- La segunda en febrero (CVE-2025-24200)
El año pasado, la compañía corrigió seis vulnerabilidades de día cero que fueron explotadas en ataques, comenzando con la primera en enero, dos más en marzo, una en mayo, y otras dos en noviembre.