Apple ha publicado actualizaciones de seguridad urgentes para sus sistemas operativos iOS, iPadOS y macOS para corregir una vulnerabilidad de zero-day, identificada como CVE-2025-43300, que está siendo activamente explotada. La vulnerabilidad, permite a un atacante no autenticado ejecutar código malicioso de forma remota simplemente enviando una imagen manipulada al dispositivo de la víctima.
Una grave brecha de seguridad ha obligado a Apple a actuar de inmediato, poniendo en alerta a millones de usuarios de iPhone, iPad y Mac. Investigadores de ciberseguridad han detectado que actores maliciosos están aprovechando un fallo crítico en el componente de procesamiento de imágenes de los sistemas operativos de Apple. La compañía ha confirmado tener conocimiento de informes que indican que «este problema puede haber sido explotado activamente».
¿En qué consiste la vulnerabilidad?
La vulnerabilidad, catalogada con el identificador CVE-2025-43300, reside en el framework ImageIO, un componente fundamental del sistema encargado de leer y escribir la mayoría de los formatos de imagen. El problema específico es una vulnerabilidad de escritura fuera de límites (out-of-bounds write).
Un atacante puede crear un fichero de imagen malicioso que, al ser procesado por el dispositivo, engaña al sistema para que escriba datos fuera del búfer de memoria que le fue asignado. Esta corrupción de memoria puede ser controlada por el atacante para ejecutar código arbitrario en el dispositivo. Lo más alarmante es que el ataque puede requerir una interacción mínima o nula por parte del usuario. La simple recepción de la imagen a través de una aplicación de mensajería o correo electrónico podría ser suficiente para activar la vulnerabilidad, comprometiendo el dispositivo antes incluso de que el usuario vea la imagen.
Versiones afectadas y parches
El fallo de seguridad impacta a una amplia gama de dispositivos del ecosistema Apple. La compañía ha respondido lanzando versiones de software que corrigen este fallo mediante una validación de memoria mejorada.
| Vulnerabilidad | Producto Afectado | Versiones Parcheadas | Solución |
| CVE-2025-43300 | iPhone XS, iPad Pro 13 pulgadas, iPad 12.9 pulgadas 3rd generación, iPad Pro 11 pulgadas, iPad Air 3rd generación, iPad 7th generación y iPad mini 5th generación | iOS 18.6.2 and iPadOS 18.6.2 | Actualizar a las últimas versiones |
| CVE-2025-43300 | iPad Pro 12.9 pulgadas 2nd generación, iPad Pro 10.5 pulgadas y iPad 6th generación | iPadOS 17.7.10 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con el sistema macOS Ventura | macOS Ventura 13.7.8 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con el sistema macOS Sonoma | macOS Sonoma 14.7.8 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con el sistema macOS Sequoia | macOS Sequoia 15.6.1 | Actualizar a las últimas versiones |
Impacto potencial
El impacto de la explotación de la vulnerabilidad CVE-2025-43300 es máximo, ya que otorga al atacante la capacidad de ejecutar código con los mismos privilegios que el usuario. Un atacante exitoso puede lograr un control total sobre el dispositivo comprometido. Esto implica que el ciberdelincuente podría:
- Robar información sensible: Acceder y exfiltrar fotos, mensajes, correos electrónicos, contraseñas y datos bancarios.
- Instalar spyware: Implementar software espía para monitorizar todas las actividades del usuario, grabar conversaciones o activar la cámara y el micrófono sin permiso.
- Controlar el dispositivo: Enviar mensajes, realizar llamadas o realizar compras en nombre del usuario.
- Crear puertas traseras: Asegurar su persistencia en el dispositivo para mantener el acceso a largo plazo, incluso después de un reinicio.
- Propagarse a otros dispositivos: Utilizar el dispositivo comprometido como plataforma para lanzar nuevos ataques.
Recomendaciones
Ante la criticidad de esta vulnerabilidad de día cero, es imperativo que todos los usuarios de Apple tomen medidas de inmediato:
- Actualización inmediata: Vaya a Ajustes > General > Actualización de software en su iPhone o iPad, o a Ajustes del Sistema > General > Actualización de software en su Mac, e instale la última versión disponible. Esta es la única forma de protegerse.
- Habilitar actualizaciones automáticas: Asegúrese de tener activadas las actualizaciones automáticas para recibir parches de seguridad críticos tan pronto como estén disponibles.
- Desconfiar de mensajes no solicitados: Sea especialmente cauteloso con imágenes, enlaces o archivos adjuntos recibidos de contactos desconocidos o en mensajes inesperados.
- Realizar copias de seguridad: Mantenga copias de seguridad recientes de sus dispositivos. En el improbable caso de un compromiso, esto facilitará la restauración del sistema a un estado limpio.
The Hacker News – Apple Patches CVE-2025-43300 Zero-Day in iOS, iPadOS, and macOS Exploited in Targeted Attacks
Security Week – Apple patchess Zero-Day exploited in targeted attacks
NVD – CVE-2025-43300
Deja una respuesta