Apple lanza actualización urgente para corregir vulnerabilidad crítica en iPhone, iPad y Mac

Descubren paquetes maliciosos en npm y PyPI diseñados para robar claves y borrar datos
10 de febrero de 2025
PortSwigger revoluciona las pruebas de seguridad con extensibilidad impulsada por IA en Burp Suite
13 de febrero de 2025
Ver todo
CVE-2025-24085

Apple ha lanzado una actualización de seguridad de emergencia para corregir una vulnerabilidad crítica de ejecución de código arbitrario que está siendo explotada activamente. Identificada como CVE-2025-24085, esta vulnerabilidad es un error de «uso después de la liberación» (use-after-free) en el componente Core Media, lo que podría permitir que una aplicación maliciosa eleve sus privilegios en el dispositivo. Apple ha confirmado que el fallo ha sido explotado en versiones de iOS anteriores a iOS 17.2.

Dispositivos y versiones afectadas

Las actualizaciones de seguridad están disponibles para los siguientes dispositivos y versiones del sistema operativo:

  • iOS 18.3 y iPadOS 18.3: iPhone XS y modelos posteriores, iPad Pro (13 pulgadas y 12,9 pulgadas de 3ª generación en adelante), iPad Pro (11 pulgadas de 1ª generación en adelante), iPad Air (3ª generación en adelante), iPad (7ª generación en adelante) y iPad mini (5ª generación en adelante).
  • macOS Sequoia 15.3: Equipos Mac con macOS Sequoia.
  • tvOS 18.3: Apple TV HD y Apple TV 4K (todos los modelos).
  • visionOS 2.3: Apple Vision Pro.
  • watchOS 11.3: Apple Watch Series 6 y modelos posteriores.

Detalles de la vulnerabilidad

La vulnerabilidad se encuentra en el subsistema ImageIO, encargado del procesamiento de imágenes. Un atacante podría aprovechar este fallo enviando una imagen especialmente diseñada a un dispositivo vulnerable, lo que permitiría la ejecución de código malicioso con los privilegios del usuario afectado.

Dado que el fallo ha sido explotado activamente en versiones anteriores de iOS y macOS, Apple subraya la urgencia de instalar la actualización lo antes posible para evitar posibles ataques.

Otras vulnerabilidades corregidas

Además de CVE-2025-24085, Apple ha corregido cinco vulnerabilidades en AirPlay, reportadas por Uri Katz de Oligo Security, que podrían ser explotadas para provocar fallos inesperados del sistema, ataques de denegación de servicio (DoS) o incluso ejecución de código arbitrario bajo ciertas condiciones.

Asimismo, el Grupo de Análisis de Amenazas (TAG) de Google ha identificado tres vulnerabilidades en CoreAudio (CVE-2025-24160, CVE-2025-24161 y CVE-2025-24163) que podrían provocar el cierre inesperado de aplicaciones al procesar archivos maliciosamente diseñados.

Recomendaciones para los usuarios

Si bien Apple no ha revelado detalles sobre incidentes específicos relacionados con esta vulnerabilidad, recomienda encarecidamente a los usuarios actualizar sus dispositivos de inmediato. Hasta que los parches sean aplicados, se aconseja evitar abrir imágenes o archivos multimedia provenientes de fuentes no verificadas, como correos electrónicos desconocidos o enlaces sospechosos.

Apple ha reiterado la importancia de mantener los dispositivos actualizados y ha señalado que la rápida respuesta a esta vulnerabilidad es una prueba de su compromiso con la seguridad de sus usuarios.

Más información

Artículos relacionados

nextjs
25 de marzo de 2025

Grave vulnerabilidad en Next.js permite eludir comprobaciones de autorización en el middleware

Leer más
nginx rce
25 de marzo de 2025

Vulnerabilidad crítica en Ingress NGINX Controller permite RCE sin autenticación

Leer más
tablets infectadas en mexico
19 de marzo de 2025

Gobierno de México distribuye tablets infectadas: 200,000 estudiantes en riesgo por BADBOX 2.0

Leer más
vmware
7 de marzo de 2025

Tres vulnerabilidades activas en VMware: Parcheo inmediato obligatorio

Leer más
bugbounty
4 de marzo de 2025

Beneficios del Bug Bounty para las empresas

Leer más
JavaGhost
4 de marzo de 2025

Hackers aprovechan errores en AWS para evadir seguridad y lanzar Phishing

Leer más