Apple lanzó el martes una actualización de seguridad para abordar un defecto de día cero que, según él, ha sido explotado en ataques «extremadamente sofisticados».
A la vulnerabilidad se le ha asignado el identificador CVE CVE-2025-24201 y está enraizado en el componente del motor del navegador web WebKit.
Se ha descrito como un problema de escritura fuera de los límites que podría permitir a un atacante elaborar contenido web malicioso de modo que pueda salir del contenido web Sandbox.
Apple dijo que resolvió el problema con los controles mejorados para evitar acciones no autorizadas. También señaló que es una solución complementaria para un ataque que fue bloqueado en iOS 17.2.
Además, reconoció que la vulnerabilidad «puede haber sido explotada en un ataque extremadamente sofisticado contra individuos específicos específicos en versiones de iOS antes de iOS 17.2».
Sin embargo, el aviso no menciona si el propio equipo de seguridad de Apple descubrió la falla o si un investigador externo lo informó. Tampoco menciona cuándo comenzaron los ataques, cuánto tiempo duraron y quién fue el objetivo.
La actualización está disponible para los siguientes dispositivos y versiones del sistema operativo –
- iOS 18.3.2 e iPados 18.3.2 -iPhone XS y más tarde, iPad Pro de 13 pulgadas, iPad Pro de 12.9 pulgadas 3rd Generation y más tarde, iPad Pro de 11 pulgadas de 11 pulgadas y más tarde, iPad Air 3rd Generation y más tarde, iPad 7th Generation y más tarde, y iPad Mini 5th Generation y más tarde
- MacOS Sequoia 15.3.2 – Macs ejecutando macOS Sequoia
- Safari 18.3.1 – Macs ejecutando MacOS Ventura y Macos Sonoma
- Visionos 2.3.2 – Apple Vision Pro
Con el último desarrollo, Apple ha abordado un total de tres días cero explotados activamente en su software desde el comienzo del año, los otros dos son CVE-2025-24085 y CVE-2025-24200.