Apple aborda una vulnerabilidad crítica de día cero en WebKit con actualizaciones de seguridad de emergencia
Apple ha lanzado actualizaciones de seguridad de emergencia para corregir una vulnerabilidad crítica de día cero en su motor de navegación WebKit, identificada como CVE-2025-24201. Este fallo ha sido explotado activamente en ataques dirigidos, lo que subraya la importancia de aplicar estas actualizaciones lo antes posible.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad se describe como un problema de escritura fuera de límites (out-of-bounds write) en el motor WebKit. Este tipo de fallo permite a los atacantes crear contenido web malicioso capaz de evadir el sandbox de contenido web, lo que podría resultar en acciones no autorizadas en dispositivos afectados.
Según Apple: “El contenido web maliciosamente diseñado podría evadir el sandbox de contenido web. Se abordó un problema de escritura fuera de límites mediante mejoras en las verificaciones para evitar acciones no autorizadas”.
Dispositivos y sistemas operativos afectados
La vulnerabilidad impacta una amplia gama de productos Apple, incluyendo:
- iOS 18.3.2 e iPadOS 18.3.2: Disponible para iPhone XS y modelos posteriores, iPad Pro 13 pulgadas, iPad Pro 12.9 pulgadas (tercera generación y posteriores), iPad Pro 11 pulgadas (primera generación y posteriores), iPad Air (tercera generación y posteriores), iPad (séptima generación y posteriores) y iPad mini (quinta generación y posteriores).
- macOS Sequoia 15.3.2: Aplicable a Macs que ejecutan macOS Sequoia.
- Safari 18.3.1: Disponible para macOS Ventura y macOS Sonoma.
- visionOS 2.3.2: Para Apple Vision Pro.
- tvOS 18.3.1: Lanzado específicamente para Apple TV 4K (tercera generación), aunque esta actualización no tiene entradas CVE publicadas.
Ataques sofisticados y mitigaciones previas
El aviso de seguridad de Apple indica que la vulnerabilidad “podría haber sido explotada en un ataque extremadamente sofisticado contra individuos específicos en versiones anteriores a iOS 17.2”. La compañía implementó mejoras adicionales en las verificaciones para prevenir acciones no autorizadas, marcando este lanzamiento como una corrección complementaria tras una mitigación previa proporcionada en la actualización iOS 17.2.
Tercer parche para vulnerabilidades explotadas activamente este año
Este último parche representa la tercera respuesta de Apple ante vulnerabilidades críticas explotadas activamente este año, siguiendo a los parches anteriores para CVE-2025-24085 en enero y CVE-2025-24200 en febrero.
Recomendaciones para los usuarios
Aunque Apple no ha revelado detalles sobre el descubrimiento del fallo, la identidad de los atacantes o las víctimas específicas, se recomienda encarecidamente a los usuarios actualizar sus dispositivos inmediatamente para mitigar los riesgos asociados con esta vulnerabilidad.
Asegúrese siempre mantener sus dispositivos al día con las últimas actualizaciones oficiales proporcionadas por el fabricante como parte esencial del mantenimiento proactivo frente a amenazas cibernéticas cada vez más avanzadas.
