Apple corrige falla de seguridad explotada en ataques de día cero en Chrome

AXCESS · Julio 30, 2025, 11:20:51 PM

Apple ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de alta gravedad explotada en ataques de día cero dirigidos a usuarios de Google Chrome.

Identificada como CVE-2025-6558, esta vulnerabilidad de seguridad se debe a la validación incorrecta de entradas no confiables en la capa de abstracción gráfica de código abierto ANGLE (Almost Native Graphics Layer Engine), que procesa los comandos de la GPU y traduce las llamadas a la API de OpenGL ES a Direct3D, Metal, Vulkan y OpenGL.

Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario dentro del proceso de la GPU del navegador a través de páginas HTML especialmente diseñadas, lo que podría permitirles evadir el entorno de pruebas que aísla los procesos del navegador del sistema operativo subyacente.

Vlad Stolyarov y Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, un equipo de expertos en seguridad dedicado a proteger a los clientes de Google contra ataques patrocinados por gobiernos, descubrieron la vulnerabilidad CVE-2025-6558 en junio y la reportaron al equipo de Google Chrome, quien la parcheó el 15 de julio y la marcó como explotada activamente en ataques.

Si bien Google aún no ha proporcionado más información sobre estos ataques, Google TAG descubre con frecuencia vulnerabilidades de día cero explotadas por actores de amenazas patrocinados por gobiernos en campañas dirigidas a implementar spyware en dispositivos de personas de alto riesgo, como disidentes, políticos de la oposición y periodistas.

El martes, Apple lanzó actualizaciones de seguridad de WebKit para abordar la vulnerabilidad CVE-2025-6558 en el siguiente software y dispositivos:

iOS 18.6 y iPadOS 18.6: iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 7.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores

macOS Sequoia 15.6: Mac con macOS Sequoia

iPadOS 17.7.9: iPad Pro de 12,9 pulgadas de 2.ª generación, iPad Pro de 10,5 pulgadas y iPad de 6.ª generación

tvOS 18.6: Apple TV HD y Apple TV 4K (todos los modelos)

visionOS 2.6: Apple Vision Pro

watchOS 11.6: Apple Watch Series 6 y posteriores

"El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari", explicó Apple al describir el impacto de la explotación exitosa de CVE-2025-6558. Se trata de una vulnerabilidad en código abierto y el software de Apple se encuentra entre los proyectos afectados.

El 22 de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la agencia estadounidense de ciberdefensa, añadió este fallo de seguridad a su catálogo de vulnerabilidades que se sabe que se explotan en ataques, exigiendo a las agencias federales que parcheen su software antes del 12 de agosto.

Si bien la Directiva Operacional Vinculante (BOD) 22-01, que obliga a las agencias federales a proteger sus sistemas, solo se aplica a ellas, la CISA recomendó a todos los defensores de la red que priorizaran la aplicación de parches a la vulnerabilidad CVE-2025-6558 lo antes posible.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberdelincuentes maliciosos y representan riesgos significativos para las empresas federales", advirtió la agencia de ciberseguridad la semana pasada.

Apple también ha corregido cinco vulnerabilidades de día cero explotadas en ataques dirigidos desde principios de año, incluyendo una en enero (CVE-2025-24085), una en febrero (CVE-2025-24200), una tercera en marzo (CVE-2025-24201) y dos más en abril (CVE-2025-31200 y CVE-2025-31201).

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple corrige falla de seguridad explotada en ataques de día cero en Chrome

AXCESS

Julio 30, 2025, 11:20:51 PM