INCIBE-CERT ha emitido un aviso de alta severidad tras la publicación por parte de Apple de varias actualizaciones de seguridad que corrigen múltiples vulnerabilidades en sus productos. Entre los fallos identificados, al menos dos podrían haber sido explotados en ataques reales dirigidos contra individuos concretos, lo que eleva el nivel de riesgo y la urgencia de actualización.
Apple Security Engineering and Architecture (SEAR) ha publicado nueve notas de seguridad que afectan a distintos sistemas operativos del ecosistema Apple, incluidos iOS, iPadOS, macOS, watchOS, tvOS, visionOS y el navegador Safari. Este aviso ha sido catalogado el aviso con un nivel de importancia alto (4 sobre 5, siendo 5 el máximo) debido al impacto potencial y a la posible explotación activa de algunas vulnerabilidades.
Descripción técnica de las vulnerabilidades
Las vulnerabilidades más relevantes identificadas son:
- CVE-2025-43529: Fallo de tipo uso después de liberación (use-after-free) en WebKit. Lo que se traduce en que después de liberar una parte de memoria se puede seguir usando ese espacio. Este error puede provocar corrupción de memoria y permitir la ejecución de código arbitrario al procesar contenido web malicioso.
- CVE-2025-14174: Vulnerabilidad en el tratamiento de contenido web malicioso también en WebKit, con capacidad para provocar daños en la memoria del dispositivo o la ejecución de código no autorizado.
Apple ha confirmado que dispone de informes que indican que estas vulnerabilidades podrían haber sido utilizadas en ataques altamente sofisticados y dirigidos.
Productos y versiones afectadas
Se ven afectados los siguientes sistemas y productos en versiones anteriores a las indicadas:
- Safari
- visionOS
- watchOS
- tvOS
- macOS Tahoe
- iOS 26.2 y iPadOS 26.2
- macOS Sonoma 14.8.3
- macOS Sequoia 15.7.3
- iOS 18.7.3 y iPadOS 18.7.3
Impacto potencial
Para la ciudadanía
- Compromiso de dispositivos personales mediante la simple visita a páginas web maliciosas.
- Riesgo de robo de información personal o control del dispositivo.
- Exposición a ataques dirigidos de alta sofisticación.
Para empresas y organizaciones
- Posible compromiso de dispositivos corporativos Apple utilizados en entornos profesionales.
- Riesgo de fuga de información sensible si los equipos no están actualizados.
- Uso de estas vulnerabilidades como vector inicial en ataques más complejos.
Cómo comprobar y mitigar el riesgo
Para verificar si un dispositivo Apple está protegido:
- Acceder a Ajustes o Configuración del sistema.
- Entrar en el apartado General → Actualización de software.
- Comprobar que el sistema operativo está actualizado a la última versión disponible.
- Instalar las actualizaciones pendientes y reiniciar el dispositivo si es necesario.
Recomendaciones de seguridad
- Actualizar de inmediato todos los dispositivos Apple afectados.
- Evitar navegar por sitios web no confiables hasta aplicar los parches.
- Mantener activadas las actualizaciones automáticas del sistema.
- En entornos empresariales, verificar el estado de actualización de todos los dispositivos gestionados y aplicar políticas de control y monitorización.
Más información.
- Fuente: incibe.es
