Apple corregix dos atacs de dia zero explotats en atacs dirigits a iPhone

Apple ha llançat actualitzacions crítiques per als seus sistemes operatius iOS i macOS, abordant dos vulnerabilitats de “dia zero” que van ser activament explotades en atacs dirigits a dispositius iPhone i Mac. Estes vulnerabilitats, descobertes recentment, podrien permetre a atacants executar codi maliciós de manera remota i comprometre la seguretat dels dispositius afectats.

Anàlisi

Les vulnerabilitats corregides inclouen un error en WebKit (el motor de renderitzat de Safari) i un altre relacionat amb la gestió de memòria en el sistema operatiu.

Vulnerabilitats identificades:

• • CVE-2025-31200 en CoreAudio va ser descoberta per Apple i l’Equip d’Anàlisi d’Amenaces de Google. El processament d’una seqüència d’àudio en un arxiu multimèdia creat amb finalitats malicioses pot provocar l’execució de codi. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Es va solucionar un problema de corrupció de memòria millorant la comprovació de límits. La companyia va afirmar que el TAG (Grup d’Anàlisi d’Amenaces) de Google va informar del problema.

• • CVE-2025-31201 en RPAC mitjançant la qual un atacant amb capacitat de lectura i escriptura arbitrària podria eludir l’autenticació de punter. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Este problema es va solucionar eliminant el codi vulnerable.

Les dos vulnerabilitats han sigut explotades activament en atacs dirigits, la qual cosa implica que actors maliciosos ja estan utilitzant estes fallades per a accedir als dispositius afectats. Encara que Apple no ha proporcionat detalls específics sobre els atacs, s’han observat casos d’espionatge i robatori de dades.

Recursos afectats

• • Dispositius iPhone i iPad amb versions de iOS anteriors a la versió 16.4.
  • Computadores Mac amb versions de macOS anteriors a la versió 13.4.
  • Aplicacions de tercers que utilitzen WebKit o servicis de navegació web en estos dispositius també poden estar en risc d’explotació si no estan actualitzades.

Recomanacions

Els usuaris de dispositius Apple han d’actualitzar a l’última versió de iOS (16.4 o superior) i macOS (13.4 o superior) per a corregir estes vulnerabilitats.

Referències

• • https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-exploited-in-targeted-iphone-attacks/
  • https://support.apple.com/en-us/122282
  • https://www.securityweek.com/apple-pushes-ios-macos-patches-to-quash-two-zero-days/
•