Apple ha publicado actualizaciones de seguridad de emergencia para corregir un error de día cero que la compañía describió como explotada en ataques “extremadamente sofisticados”.
La vulnerabilidad se sigue en forma de CVE-2025-24201 y se ha encontrado en el motor de navegador web WebKit MultiplateForme utilizado por el navegador web Apple Safari y en muchas otras aplicaciones y navegadores web en MacOS, iOS, Linux y Windows.
“Esta es una solución adicional para un ataque que se ha bloqueado en iOS 17.2”, dijo el fabricante de iPhone en opiniones de seguridad emitidas el martes. “Apple es consciente de un informe de que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos específicos en las versiones de iOS antes de iOS 17.2”.
Apple dijo que los atacantes pueden usar la vulnerabilidad CVE-2025-24201 utilizando contenido artesanal infeliz para obtener contenido web Sandbox.
La compañía ha resuelto este problema de escritura limitado con cheques mejorados para evitar acciones no autorizadas en iOS 18.3.2, iPados 18.3.2, MacOS Sequoia 15.3.2, Visionos 2.3.2Y Safari 18.3.1.
La lista de dispositivos afectados por este día cero es bastante extensa, porque el error afecta a los modelos más antiguos y más recientes, en particular:
- iPhone XS y más tarde,
- IPad Pro 13 pulgadas, iPad Pro de 12.9 pulgadas de tercera generación y más tarde, iPad Pro 11 pulgadas de primera generación y más tarde, iPad Air 3ra generación y más tarde, iPad 7th Generation y luego, y iPad Mini 5th Generation y más tarde
- Mac con MacOS Sequoia
- Apple Vision Pro
Apple aún no ha atribuido el descubrimiento de esta vulnerabilidad de seguridad a uno de sus investigadores y aún no ha publicado detalles sobre los ataques “extremadamente sofisticados” con los que lo vinculó.
Incluso si el error de día cero probablemente solo se usó en ataques específicos, la instalación de actualizaciones de seguridad hoy se recomienda encarecidamente bloquear los intentos de atacar potencialmente en progreso.
Con esta vulnerabilidad, Apple ha establecido tres días cero desde el comienzo del año, el primero en enero (CVE-2025-24085) y el segundo en febrero (CVE-2025-24200).
El año pasado, la compañía reparó otros seis días cero explotados en la naturaleza: el primero en enero, dos en marzo, un cuarto en mayo y otros dos en noviembre.
Sin embargo, un año antes, Apple ha corregido 20 vulnerabilidades de cero días explotadas en los ataques, en particular:
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.