Apple ha lanzado recientemente actualizaciones de seguridad que abordan vulnerabilidades activamente explotadas, algunas de las cuales fueron utilizadas como «zero-days» (fallos de seguridad desconocidos previamente). Estas actualizaciones cubren varias versiones de los sistemas operativos de Apple, tanto en modelos más recientes como en dispositivos más antiguos. En particular, Apple ha corregido vulnerabilidades críticas en sus sistemas operativos iOS, iPadOS, macOS, y Safari, que van desde la escalada de privilegios hasta la ejecución remota de código. Además, han retroportado soluciones para vulnerabilidades que fueron explotadas antes de ser identificadas formalmente, con el objetivo de proteger a los usuarios de ataques sofisticados y prevenir posibles daños.
Análisis
Las vulnerabilidades más significativas corregidas en las últimas actualizaciones son las siguientes:
CVE-2025-24200 (Puntuación CVSS: 4.6): Se trata de un problema de autorización en el componente de Accesibilidad, que podría permitir a un atacante deshabilitar el «Modo USB Restringido» en un dispositivo bloqueado. Este tipo de vulnerabilidad podría ser aprovechada por atacantes con acceso físico a los dispositivos para comprometer la seguridad del mismo, permitiendo un ataque físico cibernético
CVE-2025-24201 (Puntuación CVSS: 8.8): Es un error en el motor WebKit que permite a los atacantes escapar de la sandbox de Web Content mediante la creación de contenido web malicioso. Este fallo es especialmente crítico ya que permite la ejecución de código arbitrario con privilegios elevados, lo que podría permitir la toma de control de dispositivos afectados.
CVE-2025-24085 (Puntuación CVSS: 7.3): Un fallo de tipo «use-after-free» en el marco Core Media de Apple, que podría ser explotado por una aplicación maliciosa para elevar privilegios en dispositivos comprometidos. Esta vulnerabilidad facilita que una aplicación comprometida pueda obtener permisos elevados y ejecutar código malicioso sin el consentimiento del usuario.
Recursos afectados
Las actualizaciones corrigen vulnerabilidades en una variedad de dispositivos Apple, que incluyen tanto modelos nuevos como antiguos. Los dispositivos afectados por las vulnerabilidades y las versiones de sistema operativo en los que se aplican las correcciones son los siguientes:
- CVE-2025-24200: Corregido en iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11.
- CVE-2025-24201: Afecta a dispositivos con iOS 15.8.4, iPadOS 15.8.4, iOS 16.7.11, iPadOS 16.7.11, y versiones posteriores de estos sistemas operativos.
- CVE-2025-24085: Afecta a macOS Sonoma 14.7.5, macOS Ventura 13.7.5, y iPadOS 17.7.6.
Recomendaciones
Se recomienda encarecidamente a todos los usuarios de dispositivos Apple que actualicen sus dispositivos a las últimas versiones de software disponibles para asegurar la protección contra las vulnerabilidades mencionadas. Las actualizaciones pueden descargarse a través de las configuraciones del sistema o mediante el uso de iTunes en dispositivos que no soporten actualizaciones automáticas.
Referencias
- https://www.bleepingcomputer.com/news/security/apple-backports-zero-day-patches-to-older-iphones-and-macs/
- https://thehackernews.com/2025/04/apple-backports-critical-fixes-for-3.html
- https://www.securityweek.com/apple-patches-recent-zero-days-in-older-iphones/
- https://cyberscoop.com/apple-security-update-march-2025/