Apple ha lanzado versiones actualizadas de su sistema operativo móvil iOS e iPados (OS) que abordan una vulnerabilidad potencialmente peligrosa que parece haber sido explotada en la naturaleza.
Los dos lanzamientos, iOS 18.3.2 y iPados 18.3.2, están disponibles para iPhone Xs y más tarde, iPad Pro de 13 pulgadas, iPad Pro de 12.9 pulgadas 3rd Generation y más tarde, iPad Pro de 11 pulgadas de primera generación y más tarde, Ipad Air 3rd Generation y posterior, 7th Generation y luego, y más tarde, y más tarde.
Colectivamente, la actualización aborda una sola vulnerabilidad rastreada como CVE-2025-24201. Apple suele publicar detalles muy escasos de las vulnerabilidades que aborda para evitar regalar demasiado a los actores de amenaza, y el defecto en cuestión no es una excepción.
Apple reveló que la falla es un problema de escritura fuera de los límites que afecta el motor de navegador web de código abierto WebKit que alimenta Safari, Mail, App Store y muchas otras aplicaciones de los ecosistemas de Apple y Linux.
Cupertino dijo: “El contenido web maliciosamente elaborado puede salir de Sandbox de contenido web. Esta es una solución complementaria para un ataque que fue bloqueado en iOS 17.2 “.
La versión 17.2 de los dos OSE se remonta poco más de un año hasta diciembre de 2023, y además de las correcciones de seguridad trajo una gran cantidad de nuevas características a la finca móvil de Apple, incluido el lanzamiento de una función de diario llamada Journal, y mejoras a su aplicación meteorológica, entre otras cosas.
Adversario de estado nación?
En sus notas de actualización, Apple indicó que tomó medidas para abordar el problema después de que se dio cuenta de la explotación de CVE-2025-24201 en la naturaleza. La firma dijo: “Apple es consciente de un informe de que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos específicos en versiones de iOS antes de iOS 17.2”.
El hecho de que este ataque se describiera como sofisticado y dirigido probablemente indica que la vulnerabilidad fue utilizada por un actor de amenaza de estado-nación, posiblemente contra las personas de interés para los servicios de inteligencia en ese país. Para los oídos occidentales, esto podría indicar la explotación de actores vinculados a China, Irán, Corea del Norte o Rusia.
Sin embargo, dado que los dispositivos móviles de Apple son tan ampliamente utilizados, se sabe que otros países e incluso empresas privadas buscan y aprovechan las vulnerabilidades en su patrimonio de dispositivos para fines similares.
En particular, el deshonrado fabricante de spyware israelí NSO Group, la organización detrás del malware Pegasus que fue utilizado por el régimen de Arabia Saudita contra el periodista asesinado Jamal Khashoggi, explotó múltiples vulnerabilidades de manzana al servicio de sus actividades mercenarias.
Aunque esto podría indicar el riesgo para los miembros del público cotidianos podría ser limitado, Sylvain Cortes, vicepresidente de estrategia de Hackuity, dijo a Computer Weekly que todos los usuarios deberían tomar medidas para protegerse.
“La falla presenta un riesgo significativo para los usuarios de versiones anteriores del sistema operativo, particularmente los lanzados antes de iOS 17.2”, dijo Cortes. “Alentamos a los usuarios a actualizar sus dispositivos a iOS 18.3.2 lo antes posible para mantener la seguridad y la privacidad de sus datos”.
Además de la solución, la actualización también trae nuevas opciones de personalización para los usuarios de Apple, una aplicación de fotos rediseñada, “nuevas formas de expresarse” en mensajes, una función de senderismo en mapas y actualizaciones de billetera.