(https://i.postimg.cc/cLYMTmxN/apple_cpu.png) (https://postimages.org/)
Apple ha lanzado actualizaciones de emergencia para corregir dos vulnerabilidades de día cero que fueron explotadas en un ataque extremadamente sofisticado dirigido a personas específicas.
Estas vulnerabilidades de día cero se identifican como CVE-2025-43529 y CVE-2025-14174, y ambas se corrigieron en respuesta a la misma explotación reportada.
"Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra personas específicas en versiones de iOS anteriores a iOS 26", indica el boletín de seguridad de Apple.
CVE-2025-43529 es una vulnerabilidad de ejecución remota de código por uso de memoria liberada en WebKit que puede explotarse al procesar contenido web malicioso. Apple afirma que la vulnerabilidad fue descubierta por el Grupo de Análisis de Amenazas de Google.
CVE-2025-14174 es una vulnerabilidad de corrupción de memoria en WebKit que podría provocar corrupción de memoria. Apple indica que la vulnerabilidad fue descubierta tanto por Apple como por el Grupo de Análisis de Amenazas de Google.
Los dispositivos afectados por ambas vulnerabilidades incluyen:
iPhone 11 y posteriores
iPad Pro de 12,9 pulgadas (3.ª generación y posteriores)
iPad Pro de 11 pulgadas (1.ª generación y posteriores)
iPad Air (3.ª generación y posteriores)
iPad (8.ª generación y posteriores)
iPad mini (5.ª generación y posteriores)
Apple ha corregido las vulnerabilidades en OS 26.2 y iPadOS 26.2, iOS 18.7.3 y iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 y Safari 26.2.
El miércoles, Google corrigió una misteriosa vulnerabilidad de día cero en Google Chrome, etiquetándola inicialmente como "[N/A][466192044] Alta: En coordinación".
Sin embargo, Google ha actualizado el aviso para identificar el error como "CVE-2025-14174: Acceso a memoria fuera de límites en ANGLE", que es la misma vulnerabilidad CVE corregida por Apple, lo que indica una divulgación coordinada entre ambas compañías.
Apple no ha revelado detalles técnicos sobre los ataques, salvo que se dirigieron a personas que utilizaban versiones de iOS anteriores a iOS 26.
Dado que ambas vulnerabilidades afectan a WebKit, que Google Chrome utiliza en iOS, esta actividad es consistente con ataques de spyware altamente dirigidos.
Si bien estas vulnerabilidades solo se explotaron en ataques dirigidos, se recomienda encarecidamente a los usuarios que instalen las últimas actualizaciones de seguridad de inmediato para reducir el riesgo de una explotación continua.
Con estas correcciones, Apple ha parcheado siete vulnerabilidades de día cero que se explotaron activamente en 2025, comenzando con CVE-2025-24085 en enero, CVE-2025-24200 en febrero, CVE-2025-24201 en marzo y dos más en abril ( CVE-2025-31200 y CVE-2025-31201 ).
En septiembre, Apple también implementó una corrección para una vulnerabilidad de día cero identificada como CVE-2025-43300 en dispositivos más antiguos con iOS 15.8.5 / 16.7.12 y iPadOS 15.8.5 / 16.7.12.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/