Actualizaciones de seguridad de Apple

Apple lanzó la actualización de seguridad iOS 18.5, abordando múltiples vulnerabilidades críticas en sus plataformas iOS y macOS. Estas vulnerabilidades podrían ser explotadas por atacantes para ejecutar código arbitrario, comprometer la privacidad del usuario y afectar la estabilidad del sistema.

Análisis

A continuación, se detallan las principales vulnerabilidades corregidas en iOS 18.5, junto con sus identificadores CVE y puntuaciones CVSS:

• • CVE-2025-31251 (CVSS 7.8): AppleJPEG: Vulnerabilidad que permite la ejecución de código arbitrario al procesar archivos multimedia manipulados.
  • CVE-2025-31239 (CVSS 7.5): CoreMedia: Vulnerabilidad de uso después de liberar memoria que puede causar la terminación inesperada de aplicaciones.
  • CVE-2025-31233 (CVSS 7.5): CoreMedia: Vulnerabilidad similar que afecta al procesamiento de archivos de video, permitiendo la ejecución de código arbitrario.
  • CVE-2025-31208 (CVSS 7.5): CoreAudio: Problema de análisis de archivos que puede provocar la terminación inesperada de aplicaciones.
  • CVE-2025-31209 (CVSS 7.5): CoreGraphics: Lectura fuera de límites en el análisis de archivos que puede revelar información sensible.
  • CVE-2025-31222 (CVSS 7.0): mDNSResponder: Vulnerabilidad que permite la escalada de privilegios a través de la manipulación de servicios de red.
  • CVE-2025-31214 (CVSS 7.0): Baseband: Vulnerabilidad en la gestión del estado que permite la interceptación de tráfico de red en dispositivos iPhone 16e.
  • CVE-2025-31225 (CVSS 6.5): Call History: Exposición de historial de llamadas de aplicaciones eliminadas en los resultados de búsqueda de Spotlight.
  • CVE-2025-31212 (CVSS 6.5): Core Bluetooth: Acceso no autorizado a datos sensibles por parte de aplicaciones a través de la gestión inadecuada del estado.
  • CVE-2025-31219 (CVSS 6.4): FaceTime: Vulnerabilidad en la función de silencio del micrófono que puede permitir la transmisión de audio no deseada.

Recursos afectados

Las siguientes versiones de dispositivos Apple se ven afectadas por estas vulnerabilidades:

• • iPhone: Modelos desde iPhone XS en adelante.
  • iPad: Modelos desde iPad 7ª generación, iPad Air 3ª generación, iPad mini 5ª generación, y todas las versiones de iPad Pro.
  • macOS: Versiones afectadas incluyen macOS Ventura 13.6.8, macOS Sonoma 14.6, y versiones anteriores.
  • watchOS y tvOS: Versiones afectadas incluyen watchOS 10.6 y tvOS 17.6.

Además, se ha identificado una vulnerabilidad en el componente Baseband (CVE-2025-31214) que afecta exclusivamente a los dispositivos iPhone 16e, permitiendo la interceptación de tráfico de red en una posición privilegiada de la red.

Recomendaciones

Los usuarios deben actualizar sus dispositivos a iOS 18.5, iPadOS 18.5 o las versiones correspondientes de macOS, watchOS y tvOS.

Referencias

• • https://www.securityweek.com/apple-patches-major-security-flaws-in-ios-macos-platforms/
  • https://support.apple.com/en-us/122404
  • https://securityaffairs.com/177748/security/apple-released-security-updates-to-fix-multiple-flaws-in-ios-and-macos.html