Apple corrige dos ataques de día cero explotados en ataques dirigidos a iPhone

Apple ha lanzado actualizaciones críticas para sus sistemas operativos iOS y macOS, abordando dos vulnerabilidades de tipo «zero-day» que fueron activamente explotadas en ataques dirigidos a dispositivos iPhone y Mac. Estas vulnerabilidades, descubiertas recientemente, podrían permitir a atacantes ejecutar código malicioso de forma remota y comprometer la seguridad de los dispositivos afectados.

Análisis

Las vulnerabilidades corregidas incluyen un error en WebKit (el motor de renderizado de Safari) y otro relacionado con la gestión de memoria en el sistema operativo.

Vulnerabilidades Reportadas:

• • CVE-2025-31200 en CoreAudio fue descubierta por Apple y el equipo de Análisis de Amenazas de Google. El procesamiento de una secuencia de audio en un archivo multimedia creado con fines maliciosos puede provocar la ejecución de código. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS. Se solucionó un problema de corrupción de memoria mejorando la comprobación de límites. La compañía afirmó que el TAG (Grupo de Análisis de Amenazas) de Google informó del problema.

• • CVE-2025-31201 en RPAC mediante la cual un atacante con capacidad de lectura y escritura arbitraria podría eludir la autenticación de puntero. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS. Este problema se solucionó eliminando el código vulnerable.

Ambas vulnerabilidades han sido explotadas activamente en ataques dirigidos, lo que implica que actores maliciosos ya están utilizando estos fallos para acceder a los dispositivos afectados. Aunque Apple no ha proporcionado detalles específicos sobre los ataques, se han observado casos de espionaje y robo de datos.

Recursos afectados

• • Dispositivos iPhone y iPad con versiones de iOS anteriores a la versión 16.4.
  • Computadoras Mac con versiones de macOS anteriores a la versión 13.4.
  • Aplicaciones de terceros que utilicen WebKit o servicios de navegación web en estos dispositivos también pueden estar en riesgo de explotación si no están actualizadas.

Recomendaciones

Los usuarios de dispositivos Apple deben actualizar a la última versión de iOS (16.4 o superior) y macOS (13.4 o superior) para corregir estas vulnerabilidades.

Referencias

• • https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-exploited-in-targeted-iphone-attacks/
  • https://support.apple.com/en-us/122282
  • https://www.securityweek.com/apple-pushes-ios-macos-patches-to-quash-two-zero-days/
•