Apple soluciona vulnerabilidades críticas de día cero en dispositivos iOS
En un documento publicado recientemente, Apple confirmó el descubrimiento de dos importantes vulnerabilidades de día cero que afectan a dispositivos iOS y que probablemente hayan sido explotadas en situaciones reales. Esta revelación subraya los riesgos potenciales asociados a las ciberamenazas avanzadas dirigidas a individuos específicos en lugar del público en general.
Naturaleza de las hazañas
Las vulnerabilidades afectan a CoreAudio y RPAC, marcos internos críticos que funcionan en las profundidades de la arquitectura iOS. Apple calificó los ataques que aprovecharon estas vulnerabilidades como «extremadamente sofisticados», estableciendo paralelismos con casos anteriores de operaciones de spyware dirigido, que recuerdan a los del infame software Pegasus.
Detalles sobre las vulnerabilidades
La primera vulnerabilidad, identificada como CVE-2025-31200, está relacionada con CoreAudio. Apple explicó que «procesar una secuencia de audio en un archivo multimedia creado con fines maliciosos puede provocar la ejecución de código».Para solucionarlo, la compañía implementó una solución centrada en mejorar la gestión de la corrupción de memoria mediante una mejor comprobación de límites.
La segunda vulnerabilidad, identificada como CVE-2025-31201, está vinculada a RPAC, un componente de arquitectura de seguridad de bajo nivel. Este problema permitía a los atacantes con permisos de acceso eludir la autenticación de puntero, un mecanismo diseñado para proteger contra ataques basados en memoria. La solución de Apple consistió en la eliminación completa del código vulnerable, lo que indica la gravedad de la falla.
Implicaciones y respuesta
Es importante destacar que Apple suele abstenerse de reconocer públicamente la explotación activa de vulnerabilidades a menos que sea absolutamente necesario. Su cautela al identificar objetivos específicos o proporcionar detalles exhaustivos refleja un protocolo de gestión de información confidencial hasta que sea seguro divulgarla.
El momento de estos anuncios, en particular las actualizaciones que se implementaron discretamente justo antes de la próxima WWDC, sugiere que Apple tenía como objetivo resolver estos problemas de seguridad urgentes antes de centrar su atención en las nuevas características anticipadas en iOS 19, como una interfaz de usuario rediseñada y capacidades mejoradas de Siri.
Una historia de vulnerabilidades de explotación
Esta revelación no es un incidente aislado; los dispositivos Apple ya han sido víctimas de exploits ocultos. Por ejemplo, la famosa vulnerabilidad FORCEDENTRY de iMessage en 2021 permitió la instalación de spyware sin interacción del usuario, lo que pone de manifiesto los riesgos actuales en el ecosistema.
Actualizaciones disponibles
Apple ha confirmado que estas vulnerabilidades se han solucionado en las versiones 18.4.1 de iOS y iPadOS, y se recomienda encarecidamente a los usuarios que las instalen cuanto antes, especialmente a aquellos con un iPhone XS o modelos posteriores, o con iPads compatibles. Además, los usuarios pueden encontrar correcciones en las actualizaciones de tvOS 18.4.1, macOS Sequoia 15.4.1 y VisionOS 2.4.1.
Deja una respuesta