Apple ha publicado actualizaciones de emergencia para parchear dos vulnerabilidades de día cero que fueron explotadas en un «ataque extremadamente sofisticado» dirigido a personas específicas.
Los días cero se rastrean como CVE-2025-43529 y CVE-2025-14174 y ambos se emitieron en respuesta a la misma explotación reportada.
«Apple está al tanto de un informe que indica que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26», se lee Boletín de seguridad de Apple.
CVE-2025-43529 es una falla de ejecución remota de código de uso después de liberación de WebKit que puede explotarse procesando contenido web creado con fines malintencionados. Apple dice que la falla fue descubierta por el Grupo de Análisis de Amenazas de Google.
CVE-2025-14174 es una falla de corrupción de memoria de WebKit que podría provocar daños en la memoria. Apple dice que la falla fue descubierta tanto por Apple como por el Grupo de Análisis de Amenazas de Google.
Los dispositivos afectados por ambas fallas incluyen:
-
iPhone 11 y posterior
-
iPad Pro de 12,9 pulgadas (tercera generación y posteriores)
-
iPad Pro de 11 pulgadas (primera generación y posteriores)
-
iPad Air (tercera generación y posteriores)
-
iPad (octava generación y posteriores)
-
iPad mini (quinta generación y posteriores)
Apple solucionó las fallas en OS 26.2 y iPadOS 26.2, iOS 18.7.3 y iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 y Safari 26.2.
El miércoles, Google solucionó una misteriosa falla de día cero en Google Chrome. inicialmente etiquetado como “(N/A)(466192044) Alto: Bajo coordinación”.
Sin embargo, Google ahora tiene actualizó el aviso para identificar el error como «CVE-2025-14174: acceso a memoria fuera de los límites en ANGLE», que es el mismo CVE corregido por Apple, lo que indica una divulgación coordinada entre las dos empresas.
Apple no ha revelado detalles técnicos sobre los ataques más allá de decir que estaban dirigidos a personas que ejecutaban versiones de iOS anteriores a iOS 26.
Como ambas fallas afectan a WebKit, que Google Chrome usa en iOS, la actividad es consistente con ataques de software espía altamente dirigidos.
Si bien estas fallas solo fueron explotadas en ataques dirigidos, se recomienda encarecidamente a los usuarios que instalen las últimas actualizaciones de seguridad lo antes posible para reducir el riesgo de una explotación continua.
Con estas correcciones, Apple ahora ha parcheado siete vulnerabilidades de día cero que fueron explotadas en estado salvaje en 2025, comenzando con CVE-2025-24085 en enero, CVE-2025-24200 en febrero, CVE-2025-24201 en marzoy dos más en abril (CVE-2025-31200 y CVE-2025-31201).
En septiembre, Apple también respaldó una solución para un día cero rastreado como CVE-2025-43300 a dispositivos más antiguos que ejecutan iOS 15.8.5/16.7.12 y iPadOS 15.8.5/16.7.12.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
