Author: Seguridad CSIRT-CV

Apple va llançar l’actualització de seguretat iOS 18.5 per abordar múltiples vulnerabilitats crítiques en les seues plataformes iOS i macOS. Estes vulnerabilitats podrien ser explotades per atacants per a executar un codi arbitrari, comprometre la privacitat de l’usuari i afectar l’estabilitat del sistema.

Anàlisi

A continuació, es detallen les principals vulnerabilitats corregides en iOS 18.5, juntament amb els seus identificadors CVE i puntuacions CVSS:

• • CVE-2025-31251 (CVSS 7.8): AppleJPEG: Vulnerabilitat que permet l’execució de codi arbitrari en processar arxius multimèdia manipulats. manipulados.
  • CVE-2025-31239 (CVSS 7.5): CoreMedia: Vulnerabilitat d’ús després d’alliberar memòria que pot causar l’acabament inesperat d’aplicacions.
  • CVE-2025-31233 (CVSS 7.5): CoreMedia: Vulnerabilitat similar que afecta el processament d’arxius de vídeo i permet l’execució de codi arbitrari.
  • CVE-2025-31208 (CVSS 7.5): CoreAudio: Problema d’anàlisi d’arxius que pot provocar l’acabament inesperat d’aplicacions.
  • CVE-2025-31209 (CVSS 7.5): CoreGraphics: Lectura fora de límits en l’anàlisi d’arxius que pot revelar informació sensible.
  • CVE-2025-31222 (CVSS 7.0): mDNSResponder: Vulnerabilitat que permet l’escalada de privilegis a través de la manipulació de servicis de xarxa.
  • CVE-2025-31214 (CVSS 7.0): Baseband: Vulnerabilitat en la gestió de l’estat que permet la intercepció de trànsit de xarxa en dispositius iPhone 16e.
  • CVE-2025-31225 (CVSS 6.5): Call History: Exposició d’historial de telefonades d’aplicacions eliminades en els resultats de busca de Spotlight.
  • CVE-2025-31212 (CVSS 6.5): Core Bluetooth: Accés no autoritzat a dades sensibles per part d’aplicacions a través de la gestió inadequada de l’estat.
  • CVE-2025-31219 (CVSS 6.4): FaceTime: Vulnerabilitat en la funció de silenci del micròfon que pot permetre la transmissió d’àudio no desitjada.

Recursos afectats

Les versions de dispositius Apple següents es veuen afectades per estes vulnerabilitats:

• • iPhone: Models des d’iPhone XS en avant.
  • iPad: Models des d’iPad 7a generació, iPad Air 3a generació, iPad mini 5a generació, i totes les versions d’iPad Pro.
  • macOS: Versions afectades inclouen macOS Ventura 13.6.8, macOS Sonoma 14.6, i versions anteriors.
  • watchOS y tvOS: Versions afectades inclouen watchOS 10.6 i tvOS 17.6.

A més, s’ha identificat una vulnerabilitat en el component Baseband (CVE-2025-31214) que afecta exclusivament els dispositius iPhone 16e que permet la intercepció de trànsit de xarxa en una posició privilegiada de la xarxa.

Recomanacions

Els usuaris han d’actualitzar els seus dispositius a iOS 18.5, iPadOS 18.5 o les versions corresponents de macOS, watchOS i tvOS.

Referències

• • https://www.securityweek.com/apple-patches-major-security-flaws-in-ios-macos-platforms/
  • https://support.apple.com/en-us/122404
  • https://securityaffairs.com/177748/security/apple-released-security-updates-to-fix-multiple-flaws-in-ios-and-macos.html

Google ha publicat el butlletí de seguretat d’Android de maig de 2025, en què corregeix un total de 47 vulnerabilitats que afecten diverses capes del sistema operatiu, segons ha informat el mitjà de comunicació CyberScoop.

Entre els errors solucionats destaca la CVE-2025-27363, una vulnerabilitat crítica que afecta el component del sistema i que ja estava sent explotada activament abans de ser reparada. Aquesta vulnerabilitat es troba en la biblioteca de renderització de tipus de lletra FreeType, utilitzada per Android per a gestionar el text en pantalla. Segons Google, l’explotació d’aquest error permet l’execució local de codi arbitrari sense necessitat de privilegis addicionals ni interacció de l’usuari, cosa que eleva considerablement la seua gravetat.

El butlletí inclou dos nivells de pegats: 2025-05-01 i 2025-05-05, que permeten als fabricants de dispositius Android aplicar les correccions de manera escalonada. A més de la vulnerabilitat ja explotada, s’han solucionat altres errors relacionats amb l’elevació de privilegis, la divulgació d’informació, la denegació de servei i l’execució remota de codi, repartits entre els components del sistema, el framework, el nucli i els controladors de fabricants.

Una part important de les vulnerabilitats corregides afecta xips i controladors de fabricants com Qualcomm i MediaTek, fet que evidencia la complexitat de l’ecosistema Android i la necessitat d’una coordinació efectiva entre Google i els seus socis per a distribuir els pegats de manera oportuna.

Google recomana a tots els usuaris mantindre els seus dispositius actualitzats i aplicar les últimes actualitzacions de seguretat tan prompte com estiguen disponibles. Aquest tipus de pegats no només corregeixen errors, sinó que també bloquegen vies d’atac que ja estan sent aprofitades per actors maliciosos, com ha passat amb la CVE-2025-27363.

Referències

• • https://cyberscoop.com/android-security-update-may-2025/
  • https://source.android.com/docs/security/bulletin/2025-05-01?hl=es-419
•  

Apple ha llançat actualitzacions crítiques per als seus sistemes operatius iOS i macOS, abordant dos vulnerabilitats de “dia zero” que van ser activament explotades en atacs dirigits a dispositius iPhone i Mac. Estes vulnerabilitats, descobertes recentment, podrien permetre a atacants executar codi maliciós de manera remota i comprometre la seguretat dels dispositius afectats.

Anàlisi

Les vulnerabilitats corregides inclouen un error en WebKit (el motor de renderitzat de Safari) i un altre relacionat amb la gestió de memòria en el sistema operatiu.

Vulnerabilitats identificades:

• • CVE-2025-31200 en CoreAudio va ser descoberta per Apple i l’Equip d’Anàlisi d’Amenaces de Google. El processament d’una seqüència d’àudio en un arxiu multimèdia creat amb finalitats malicioses pot provocar l’execució de codi. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Es va solucionar un problema de corrupció de memòria millorant la comprovació de límits. La companyia va afirmar que el TAG (Grup d’Anàlisi d’Amenaces) de Google va informar del problema.

• • CVE-2025-31201 en RPAC mitjançant la qual un atacant amb capacitat de lectura i escriptura arbitrària podria eludir l’autenticació de punter. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Este problema es va solucionar eliminant el codi vulnerable.

Les dos vulnerabilitats han sigut explotades activament en atacs dirigits, la qual cosa implica que actors maliciosos ja estan utilitzant estes fallades per a accedir als dispositius afectats. Encara que Apple no ha proporcionat detalls específics sobre els atacs, s’han observat casos d’espionatge i robatori de dades.

Recursos afectats

• • Dispositius iPhone i iPad amb versions de iOS anteriors a la versió 16.4.
  • Computadores Mac amb versions de macOS anteriors a la versió 13.4.
  • Aplicacions de tercers que utilitzen WebKit o servicis de navegació web en estos dispositius també poden estar en risc d’explotació si no estan actualitzades.

Recomanacions

Els usuaris de dispositius Apple han d’actualitzar a l’última versió de iOS (16.4 o superior) i macOS (13.4 o superior) per a corregir estes vulnerabilitats.

Referències

• • https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-exploited-in-targeted-iphone-attacks/
  • https://support.apple.com/en-us/122282
  • https://www.securityweek.com/apple-pushes-ios-macos-patches-to-quash-two-zero-days/
•  

Oracle ha anunciat el llançament de 378 nous pedaços de seguretat com a part de la seua segona actualització de pedaços crítics (CPU) de 2025, incloses 255 correccions per a vulnerabilitats que es poden explotar de manera remota sense autenticació.

Anàlisi

S’han identificat aproximadament 180 CVE únics en la CPU d´abril de 2025 d’Oracle que inclou 40 pedaços de seguretat que resolen vulnerabilitats de gravetat crítica.

Oracle Communications va rebre la major quantitat de correccions de seguretat, 103, inclosos 82 pedaços per a errors que poden ser explotats per atacants remots no autenticats.

El següent en la llista és MySQL, que va rebre 43 nous pedaços de seguretat (2 per vulnerabilitats no autenticades i explotables de manera remota), seguit per Aplicacions de comunicacions (42 – 35), Aplicacions de servicis financers (34 – 22) i Fusion Middleware (31 – 26).

Oracle també va llançar correccions de seguretat per a E-Business Suite (16 pedaços nous, 11 per a defectes explotables de manera remota sense autenticació), Analytics (15 – 11), Retail Applications (11 – 11), JD Edwards (8 – 5), Construcció i enginyeria (7 – 6), Servidor de base de dades (7 – 3), Comerç (6 – 5) i Java ES (6 – 5).

Es van llançar alguns pedaços per a Enterprise Manager, ferramentes de suport, GoldenGate, Siebel CRM, PeopleSoft, automatització de polítiques, aplicacions d’aliments i begudes, aplicacions d’hospitalitat, Hyperion, cadena de subministrament, virtualització, base de dades en memòria TimesTen, aplicacions d’utilitats i sistemes.

Autonomous Health Framework, Graph Server i Client, Insurance Applications, Essbase i Secure Backup van rebre un pedaç cada un.

Addicionalment va anunciar correccions per a CVE de tercers no explotables. Per a altres productes, les correccions aborden CVE addicionals i CVE no explotables.

Dimarts, també va publicar el Butlletí de tercers de Solaris d’abril de 2025, que conté 16 nous pedaços de seguretat (14 per a falles no autenticades i explotables de manera remota), i el Butlletí de Linux d’abril de 2025, que enumera 48 correccions per a errors d’Oracle Linux resolts i anunciats en l’últim mes i que s’actualitzarà durant dos mesos per a incloure nous CVE.

Recursos afectats

Productes Oracle esmentats en els butlletins disponibles en les referències.

Recomanacions

Es recomana als clients d’Oracle que apliquen els pedaços al més prompte possible, ja que s’ha observat quins actors d’amenaces exploten vulnerabilitats d’Oracle per a les quals s’han publicat correccions però no s’hi han aplicat.

Referències

• • https://www.securityweek.com/oracle-patches-180-vulnerabilities-with-april-2025-cpu/
  • https://www.oracle.com/security-alerts/cpuapr2025.html
  • https://www.oracle.com/security-alerts/linuxbulletinapr2025.html
•