Vulnerabilidades 0-day en WebKit que afectan a productos Apple

Fecha de publicación: 

Resumen ejecutivo

Se han identificado vulnerabilidades 0-day en WebKit que afectan a múltiples productos de Apple, incluyendo iPhone, iPad, macOS, Apple TV, Apple Watch, Apple Vision Pro y Safari. Estas vulnerabilidades, actualmente reservadas en la base de datos CVE, permiten la ejecución arbitraria de código y corrupción de memoria al procesar contenido web malicioso. Apple ha confirmado que podrían haber sido explotadas en ataques altamente sofisticados contra individuos específicos en versiones anteriores a iOS 26. Los identificadores asociados son CVE-2025-14174 y CVE-2025-43529, y se han mitigado mediante mejoras en la gestión de memoria y validación.

Recursos afectados

  • iPhone 11 y posteriores
  • iPad Pro 12.9-inch 3ra generación y posteriores
  • iPad Pro 11-inch 1ra generación y posteriores
  • iPad Air 3ra generación y posteriores
  • iPad 8va generación y posteriores
  • iPad mini 5ta generación y posteriores
  • macOS Tahoe
  • iPhone XS y posteriores
  • iPad Pro 13-inch
  • iPad 7ma generación y posteriores
  • Apple TV HD y Apple TV 4K (todos los modelos)
  • Apple Watch Series 6 y posteriores
  • Apple Vision Pro (todos los modelos)
  • Safari para macOS Sonoma y macOS Sequoia

Análisis técnico

  • CVE-2025-14174: Una vulnerabilidad de acceso a memoria fuera de límites en ANGLE de Google Chrome para Mac antes de la versión 143.0.7499.110 permite a un atacante remoto acceder a la memoria de forma no autorizada a través de una página HTML malintencionada. Este problema puede tener un impacto alto en la seguridad, ya que puede ser utilizado para ejecutar código arbitrario. No se especifican requisitos adicionales para la explotación.
    • CWE-119
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2025-43529: Se ha identificado una vulnerabilidad y se le ha asignado un identificador CVE. Sin embargo, no aparece en la base de datos NVD porque actualmente está reservada. Esto significa que, aunque el CVE haya sido asignado por la organización CVE o por una CNA (CVE Numbering Authority), no se han publicado detalles técnicos ni información adicional. El estado RESERVED indica que el identificador está bloqueado para uso futuro, pero la descripción oficial aún no se ha hecho pública.
    • CWE N/A
    • CVSS: N/A
    • Vector CVSS: N/A
    • Explotación: Detectada

Mitigación / Solución

Para mitigar o solucionar los problemas de seguridad descritos en WebKit, se recomienda actualizar a las versiones más recientes de iOS, macOS y Safari. Específicamente, se deben aplicar las actualizaciones relacionadas con los CVE identificados: CVE-2025-14174 y CVE-2025-43529, que abordan los problemas de ejecución de código arbitrario y corrupción de memoria.

Referencias adicionales

    Compartir