Por Mid 
Apple publica parches de emergencia para una vulnerabilidad crítica Zero-Day que facilita la ejecución de código a través de imágenes
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Apple ha lanzado actualizaciones críticas para abordar la vulnerabilidad CVE-2025-43300 en sus sistemas operativos.
- La vulnerabilidad permite la ejecución de código malicioso a través de imágenes manipuladas enviadas a dispositivos afectados.
- Impacto potencial incluye robo de información sensible y control total sobre el dispositivo por parte de los atacantes.
- Se recomienda actualizar a la última versión del software inmediatamente para mitigar el riesgo.
- Los usuarios deben estar alerta ante mensajes no solicitados y archivos adjuntos de fuentes desconocidas.
Índice
- ¿Cómo funciona esta vulnerabilidad?
- Dispositivos afectados y soluciones implementadas
- Consecuencias de la explotación
- Recomendaciones a seguir
¿Cómo funciona esta vulnerabilidad?
La vulnerabilidad, referenciada como CVE-2025-43300, se encuentra en el framework ImageIO, un elemento clave del sistema responsable de leer y escribir la mayoría de los formatos de imagen. El problema subyacente es una vulnerabilidad de escritura fuera de límites (out-of-bounds write). A través de esta vulnerabilidad, un atacante puede crear un archivo de imagen malicioso que, al ser procesado por el dispositivo, engaña al sistema ocasionando que se escriban datos fuera del búfer de memoria asignado. Esta corrupción de la memoria puede ser utilizada por el atacante para ejecutar código arbitrario en el dispositivo.
Lo más inquietante es que este ataque puede requerir poca o ninguna interacción del usuario. La simple recepción de una imagen a través de una aplicación de mensajería o un correo electrónico podría ser suficiente para activar la vulnerabilidad, comprometiendo el dispositivo incluso antes de que el usuario visualice la imagen.
Dispositivos afectados y soluciones implementadas
La vulnerabilidad afecta a un amplio espectro de dispositivos dentro del ecosistema de Apple. En respuesta, la compañía ha lanzado versiones de software que corrigen la falla mediante una validación de memoria mejorada. A continuación se muestra un resumen de los productos afectados y sus respectivas soluciones.
| Vulnerabilidad | Producto Afectado | Versiones Parcheadas | Solución |
|---|---|---|---|
| CVE-2025-43300 | iPhone XS, iPad Pro 13 pulgadas, iPad 12.9 pulgadas 3ra gen. | iOS 18.6.2 y iPadOS 18.6.2 | Actualizar a las últimas versiones |
| CVE-2025-43300 | iPad Pro 12.9 pulgadas 2da generación, iPad Pro 10.5 pulgadas | iPadOS 17.7.10 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con macOS Ventura | macOS Ventura 13.7.8 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con macOS Sonoma | macOS Sonoma 14.7.8 | Actualizar a las últimas versiones |
| CVE-2025-43300 | Macs con macOS Sequoia | macOS Sequoia 15.6.1 | Actualizar a las últimas versiones |
Consecuencias de la explotación
La explotación de la vulnerabilidad CVE-2025-43300 puede tener un impacto severo, ya que le concede al atacante la capacidad de ejecutar código con los mismos privilegios que el usuario. Un atacante exitoso puede llegar a tener control total sobre el dispositivo afectado. Esto comporta que el ciberdelincuente podría:
- Robar información sensible: Acceder y extraer fotos, mensajes, correos electrónicos, contraseñas y datos bancarios.
- Instalar spyware: Introducir software espía para monitorear las actividades del usuario, grabar conversaciones o activar la cámara y el micrófono sin su consentimiento.
- Controlar el dispositivo: Enviar mensajes, realizar llamadas o efectuar compras en nombre del usuario.
- Crear puertas traseras: Asegurar un acceso continuo al dispositivo para mantener control a largo plazo, aún después de reinicios.
- Propagarse a otros dispositivos: Utilizar el dispositivo comprometido como plataforma para lanzar ataques adicionales.
Recomendaciones a seguir
Dada la urgencia de esta vulnerabilidad de día cero, es fundamental que todos los usuarios de dispositivos Apple actúen de inmediato:
- Realizar una actualización inmediata: Dirígete a Ajustes > General > Actualización de software en tu iPhone o iPad, o a Ajustes del Sistema > General > Actualización de software en tu Mac, e instala la versión más reciente disponible. Esto es esencial para protegerse.
- Activar actualizaciones automáticas: Asegúrate de que las actualizaciones automáticas estén habilitadas, lo que te permitirá recibir parches de seguridad críticos tan pronto como se liberen.
- Ser cauteloso con mensajes no solicitados: Mantén especial precaución con imágenes, enlaces o archivos adjuntos que provengan de contactos desconocidos o en mensajes inesperados.
- Hacer copias de seguridad: Mantén copias de seguridad recientes de tus dispositivos. En caso de compromiso, esto facilitará la restauración del sistema a un estado limpio.