Apple soluciona un nuevo día cero explotado en ataques dirigidos contra usuarios específicos

Apple ha publicado una serie de actualizaciones de seguridad para iOS, iPadOS y macOS con el objetivo de solucionar una vulnerabilidad crítica que, de acuerdo con la propia compañía, ya estaba siendo explotada en escenarios de ataque reales y altamente dirigidos.

El fallo, identificado como CVE-2025-43300, corresponde a una vulnerabilidad de escritura fuera de límites localizada en el framework ImageIO. Este componente se encarga del procesamiento de imágenes y, en condiciones de explotación, podría permitir la corrupción de memoria al abrir un archivo malicioso.

En un comunicado, Apple señaló que tiene constancia de informes que sugieren que la falla fue utilizada en un ataque “extremadamente sofisticado” contra un grupo muy reducido de personas seleccionadas. La compañía añadió que el error fue descubierto de manera interna y que la corrección se aplicó reforzando los mecanismos de verificación de límites en el código afectado.

Las actualizaciones que incorporan la solución ya se encuentran disponibles para los siguientes dispositivos y sistemas:

iOS 18.6.2 y iPadOS 18.6.2: iPhone XS y modelos posteriores, iPad Pro de 13″, iPad Pro de 12,9″ (3.ª gen. en adelante), iPad Pro de 11″ (1.ª gen. en adelante), iPad Air desde la 3.ª gen., iPad de 7.ª gen. en adelante y iPad mini de 5.ª gen. y posteriores.
iPadOS 17.7.10: disponible para iPad Pro de 12,9″ (2.ª gen.), iPad Pro de 10,5″ y iPad de 6.ª gen.
macOS Ventura 13.7.8
macOS Sonoma 14.7.8
macOS Sequoia 15.6.1

Aunque hasta el momento no se ha revelado quiénes están detrás de las explotaciones ni el alcance exacto de los ataques, todo indica que se trató de operaciones sumamente específicas, dirigidas contra objetivos de alto valor.

Con este parche, Apple ya acumula siete vulnerabilidades de día cero corregidas en lo que va de 2025, todas ellas detectadas tras haber sido explotadas activamente en escenarios del mundo real. Entre estas se incluyen CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 y CVE-2025-43200.

A esto se suma la actualización publicada el mes pasado para mitigar una vulnerabilidad en Safari (CVE-2025-6558), vinculada a un componente de código abierto y que, según Google, también estaba siendo utilizada como día cero en el navegador Chrome.

Estas acciones reflejan la creciente presión sobre los fabricantes de tecnología para responder con rapidez a fallas críticas que pueden ser empleadas en ataques altamente dirigidos. En este contexto, Apple refuerza su postura de seguridad con una respuesta inmediata frente a amenazas que apuntan, cada vez más, a perfiles muy concretos y sensibles.

Fuente.thehackernews[.]com

You May Also Like

Expertos advierten sobre una grave vulnerabilidad sin parchear en los sistemas Linear eMerge E3

Análisis de los Componentes del Lado del Servidor de BBTok

Microsoft dejará de dar soporte a Windows 11 22H2 en octubre