Apple corrige dos vulnerabilidades de día cero usadas en ataques dirigidos a través de WebKit

Hjem » Python » Apple corrige dos vulnerabilidades de día cero usadas en ataques dirigidos a través de WebKit

Apple har offentliggjort en serie aktualisering af nødsituationer para bloquear dos vulnerabilidades de día cero que ya estaban siendo usadas en ataques reales contra un número muy reducido de personas. Aunque la compañía no ha revelado quién está detrás de la campaña ni a quién iba dirigida, el tipo de ataque encaja más con operations de software espía altamente dirigido que con delincuencia informática masiva.

Las dos fallas se encuentran en WebKit, navigeringsmotor que impulsa Safari y, debido a las restricciones af iOS, también funciona como base para cualquier or navegador en iPhone y iPad. En escenarios concretos, basta con visitar un sitio web especialmente manipulado para que el dispositivo procese contenido malicioso y se dispare la cadena de explotación, sin que la víctima tenga que hacer nada más.

Este nuevo incidente se suma a otros problemas de seguridad que han ido marcando el año, y refuerza la idé de que los ataques dirigidos mediante vulnerabilidades de día cero se han convertido en una herramienta habitual tanto for aktører estatales como para proveedores comerciales de spyware. Para la mayoría de usuarios, el riesgo inmediato puede parecer bajo, pero el nivel de sofisticación ilustra cómo puede evolucionar el panorama de amenazas.

Antes de entrar en los detalles técnicos y las afbødende foranstaltninger, conviene entender qué ha dicho Apple sobre estos errores, por qué son tan delicados y qué dispositivos seven potencialmente afectados, incluso si no se consideran objetivos «de alto perfil».

Qué ha reconocido Apple sobre estas dos vulnerabilidades de día cero

Las vulnerabilidades están catalogadas como CVE-2025-43529 y CVE-2025-14174, y Apple har bekræftet que ambas se explotaron dentro del mismo escenario de ataque en el mundo real. El uso de dos fallas encadenadas es típico de campañas avanzadas, donde los atacantes combinan errores para escalar privilegios y consolidar el control sobre el dispositivo comprometido.

Según la documentación de seguridad de la compañía, las explotaciones se dirigieron contra versiones de iOS tidligere iOS 26, y la actividad se limitó a «individuos específicamente seleccionados». Este lenguaje no se usa para cualquier problema: normalmente apunta a operaciones cuidadosamente diseñadas, dirigidas a un conjunto muy restringido de objetivos con un valor de inteligencia elevado.

CVE-2025-43529 beskriver som en vulnerabilidad af "brug-efter-fri" en WebKit. En la práctica, esto significa que, manipulando cierto contenido web, un atacante puede forzar al navegador a reutilizar memoria que ya no debería estar en uso. Esa forvirring er qué hay realmente almacenado en esa zona de memoria abre la puerta a ejecutar código arbitrario en el dispositivo, todo ello escondido derás de una pagina web aparentemente legítima.

Apple har akkrediteret el hallazgo de esta falla al Googles gruppe for trusselsanalyse, equipo de Google especializado en rastrear grupos de amenazas sofisticadas, incluidos proveedores comerciales de spyware y actores vinculados and estados. Históricamente, cuando este equipo está implicado en el descubrimiento, suele tratarse de campañas con objetivos como periodistas, defensores de derechos humanos eller figuras políticas.

Den anden sårbarhed, CVE-2025-14174, también se ubica en WebKit y se klassificering som et problem med korruption de memoria. Aunque en la documentación Apple har de «hukommelseskorruption» y no siempre lo etiket directamente como ejecución de código, este tipo de errores se puede combinar med otros para alcanzar un compromiso total del dispositivo, desde la lectura de datas confidencialaes hasta confidencialación la spionware.

En este caso, la empresa señala que el bug fue descubierto de forma conjunta por Apple y el propio Googles trusselsanalysegruppe. Esa colaboración refuerza la impresión de que la actividad se investigó a partir de ataques ya en curso, y no de una simpel revision intern de código.

En ambas vulnerabilidades, Apple indica expresamente que estaba al tanto de explotación aktiv «i naturen». Esta formulación no se utiliza para vulnerabilidades teóricas o meramente potenciales, sino cuando ya se han observado abusos claros de los fallos frente a víctimas reales.

La solución técnica, según Apple, har sammensat principalmente en un refuerzo de la gestión de memoria y kontroles de validación dentro af WebKit. No obstante, la compañía evita entrar en demasiados detalles técnicos; ofrecer information demasiado præcise podria facilitar que otros actores maliciosos reprodujeran el exploit o desarrollaran variantes.

Alcance de la exposición y dispositivos afectados

Æble har liberado parches para la práctica totalidad de sus system operativos en soporte activo, inklusive de sidste versioner af iOS, iPadOS, macOS, Safari, watchOS, tvOS og visionOS. El objetivo es asegurarse de que tanto los equipos de escritorio como los dispositivos móviles y los wearables queden protegidos frente al mismo problema subyacente en WebKit.

De acuerdo con el aviso de seguridad, están en el punto de mira una amplia gama de dispositivos: desde el iPhone 11 og nyere, udgivet af forskellige generationer af iPad Pro, iPad Air og del af tercera generation, iPad de octava generación og versioner recientes af iPad mini og partir de la quinta generación. En otras palabras, cubre la enorme mayoría de telefonos og tabletas Apple que næste udnyttelse af forma sædvanlige.

Las correcciones se han incorporado a un abanico de versiones específicas: iOS 26.2 og iPadOS 26.2 for at få det til at regne ud, men også med iOS 18.7.3 og iPadOS 18.7.3, som er permanente i de foregående generationer. En equipos de escritorio, el parche llega como parte de macOS Tahoe 26.2, mientras que en el ecosistema de entretenimiento y wearables se despliega como tvOS 26.2, watchOS 26.2 y visionOS 26.2, además de una actualización de Safari a la version 26.2.

Un pointo que a menudo pasa desapercibido es que, en iOS og iPadOS, todos los navegadores deben usar WebKit internt, inkluderet i fuera med Chrome, Firefox og Opera. Esto implica que el fallo no se limita a Safari, sino que cualquier navegador basado en iOS comparte la misma superficie de ataque en lo que respekta al motor de renderizado.

En al kontekst mere amplio de 2025, con estas correcciones Apple har parcheado ya siete vulnerabilidades de día cero que han sido explotadas de forma confirmada durante el año. Entre ellas se encuentran errores revelados anteriormente y una actualización lanzada en septiembre para equipos más antiguos, lo que da una idé del volumen de recursos que los atacantes están invirtiendo en este tipo de exploits.

Cómo reducir el riesgo frente a ataques dirigidos mediante zero-days

Aunque la campaña descrita apunta sobre todo a víctimas muy concretas, las mismas debilidades técnicas afectan a cualquiera que no haya actualizado todavía. Hay una serie de praktiske skridt que pueden marcar una diferencia real en la probabilidad de verse afectado por este tipo de ataques, incluso si no se está en el radar de un actor de alto nivel.

1) Installer las actualizaciones tan pronto como aparezcan

Puede ekkolod gentages, men i verden nul-dage ingen hø consejo mere effektiv que mantener el software al día. Este tipo de operación depende, en gran medida, de personas que siguen usando versiones antiguas y no han aplicado los parches críticos.

Cuando Apple Lanza er en aktualisering af det presserende, og det kan anbefales at installere hvornår er tilgængelig. En muchas campañas, los atacantes se centran præcisamente en la ventana de tiempo entre la publicación del parche y su adopción masiva, explotando a quienes retrasan la instalación por comodidad o por simple olvido.

Para quienes no quieren estar pendientes de cada aviso, dejar que el sistema gestone las actualizaciones de forma automática es una alternative sensata. Aktiver las automatiske opdateringer en iOS, iPadOS, macOS og Safari reducerer udsættelsesmargenen, inkluderer ikke brugen af ​​en sårbarhed og læser meddelelsen om at blive frigivet.

2) Desconfiar de enlaces inesperados, incluso de contactos conocidos

La mayoría de ataques contra WebKit se apoyan en contenido web especialmente preparado. En bastantes casos, el primer paso de la cadena de ataque es un enlace enviado por SMS, correo electrónico o aplicaciones de mensajería, diseñado para que la víctima haga clic sin pensar demasiado.

Conviene ser especialmente cauteloso con enlaces quellegan de forma inesperada, aunque parezcan proceder de alguien conocido. Hvis du har en genera dudas, er en opción más prudente es escribir manualmente la dirección en el navegador o buscar el sitio por nombre, en lugar de pulsar directamente sobre la URL que ha llegado en el mensaje.

Como capa adicional, tener instalado un software til beskyttelse af antivirus en los distintos dispositivos puede ayudar a bloquear paginas maliciosas, advarsel sobre intentos de phishing og reducir el riesgo de que un clic casual termine instalando malware or exponiendo información personal.

3) Ajustar la forma de navegar para limitar la superficie de ataque

For personas que manejan data sensibles -como periodistas, activists or professionales con acceso a información confidencial-, sentido replantearse la forma and que usan la web desdede su iPhone, iPad or Mac, con el objetivo de reducir pointos de entrada explotables.

Una recomendación habitual es concentrar la navegación en un único navegador bien configurado, af eksempel Safari, og evitar cargar el entorno con extensiones no esenciales que puedan introducir more vulnerabilidades or comportamientos inesperados. Cuantas menos piezas y menos código adicional se ejecuten en cada pagina, mere fåcil es mantener el control sobre la superficie de ataque.

También conviene moderar la cantidad de enlaces que se abren directamente desde apps de mensajería o redes sociales. En lugar de tocar cualquier URL dentro de un chat, se puede optar por Copiar el enlace y abrirlo manualmente en el navegador principal, después de verificar que el dominio y el contenido tienen sentido.

4) Aktiver Lockdown-tilstand, hvis du har en reel forpligtelse til at styre dine brugere

Para quienes sospechan que puedan ser mål med høj værdi o se encuentran en contextos de riesgo —investigaciones delicadas, trabajo con fuentes vulnerables, exposición pública intensa—, merece la pena considerar el uso del Låsetilstand (blokeringstilstand) fra Apple.

Esta función está específicamente diseñada para frenar ataques avanzados: restringe teknologiske web complejas, bloquea la mayoría de los adjuntos en mensajes, limita ciertos tipos de llamadas entrantes y cierra vías de entrada que el spyware suele aprovechar. Ingen es una solución pensada para todos los usuarios, ya que puede hascer que la experiencia diaria sea más áspera o limitada.

Sin embargo, en escenarios donde la amenaza no es meramente hipotética, este mecanismo puede proporcionar una barrera adicional importante. En kombination med aktualisering af system, prudente navegación y buenas prácticas de seguridad digital, Låsetilstand se convierte en una pieza más de una estrategia defensiva multinivel.

5) Reducir la cantidad de datas personales expuestos en Internet

Los ataques dirigidos rara vez empiezan de la nada. Suelen apoyarse en un proceso previo de reconocimiento y elaboración de perfiles, donde los atacantes recogen datos públicos y semipúblicos sobre sus objetivos para elegir la mejor forma de abordarlos y convencerlos de interactuar con enlaces o archivos.

Få mere personlig information tilgængelig på nettet — vejledninger, telefoner, telefoner, entorno professionel, círculos sociales —, mere sencillo resulta construir un mensaje creíble que haga que la víctima baje la guardia. Por eso, revisar la configuración de privacidad en redes sociales y limitar detalles sensibles puede marcar una gran diferencia.

También eksisterer la opción de recurrir a serviceydelser til eliminering af data en webs de agregadores og corredores de información. Estos servicios suelen encargarse de localizar y solicitar la retirada de registros personales en múltiples sitios a la vez; ingen garantizan borrar todo rastro en Internet, men dog reducir de forma significativa la cantidad de información que circula de manera cómoda para los atacantes.

Al disminuir los data disponibles, se komplikationer que quienes se dedican a campañas de phishing oa espionaje digital crucen information filtrada con lo que encuentran en la web overfladisk eller en la dark web. Esto, en la práctica, eleva el coste de atacar a una persona concreta y puede hacer que los atacantes pasen a otros objetivos más fáciles.

6) Estar atento a un comportamiento extraño del dispositivo

No cualquier fallo del teléfono es síntoma de un ataque sofisticado, men si merece la pena prestar atención a cambios persistentes en el comportamiento del dispositivo: cierres inesperados de Safari, reinicios frecuentes, sobrecalentamiento sin motivo aparente, consumo de batería anómalo eller ralentizaciones extremas.

Por sí solos, estos signos no prueban que exista un compromiso; la mayoría de las veces se deben a softwarefejl, optimerede apps o problemer med konfigurationen. Sin embargo, si el patrón se repite aunque se cierren aplicaciones y se reinicie el equipo, conviene tomar medidas más firmes.

En ese punto, lo más razonable es asegurarse de que todas las actualizaciones de seguridad estén instaladas y, si las anomalías kontinuan, overveje un nulstil enheden o incluso una restauración completa desde una copia de seguridad de confianza. Para usuarios en entornos de alto riesgo, también puede ser udil consultar a un equipo de seguridad especializado capaz de analizar el equipo con más detalle.

En año con multiples zero-days explotados en el ecosistema Apple

Aunque Apple no ha revelado quién fue atacado ni el perfil de los agresores en este último episode, el patrón encaja con campañas anteriores de software espía que han tenido como diana a periodistas, defensores de derechos humanos, figuras políticas y otras personas con acceso a información sensible.

Contando estos dos fallos de WebKit, la compañía suma ya siete vulnerabilidades de día cero explotadas en la naturaleza a lo largo de 2025. La cifra incluye bugs divulgados a principios de año y una actualización de septiembre pensada para dar cobertura adicional a dispositivos más antiguos que seguían en circulación.

Samtidig har Apple godkendt versionen af ​​iOS 26.2 til desplegar og pakke mere amplio de rettelser og forbedringer ingen direkte relacionadas med este incidente, desde parches para otras aplicaciones y servicios hasta nuevas funciones en areas como Recordatorios, AirDrop, Seguimiento del Sueño y Podcasts. Aun así, søn estas dos vulnerabilidades de día cero las que han acaparado la atención por el riesgo que suponen en manos de atacantes bien organizados.

La combinación de amenazas cada vez mer avanzadas, uso continuado de exploits de día cero y capacidad de respuesta mediante parches rápidos retrata un entorno en el que la seguridad deja de ser algo estático. Tanto grandes proveedores tecnológicos como usuarios finales se ven obligados a moverse rápido: las compañías mejorando la protección de sus plataformas y los usuarios manteniendo sus equipos al día, afinando sus hábitos cuarios y, medinando sus hábitos cuarios y, med defensivas más estrictas.

Estas dos vulnerabilidades de día cero explotadas en ataques dirigidos recuerdan que incluso los dispositivos mejor protegidos pueden vers comprometidos si se combinan fallos desconocidos con campañas cuidadosamente diseñadas. Mantenerse actualizado, cuestionar los enlaces que llegan por cualquier canal, reducir la huella de datos personales y, en los casos de mayor riesgo, activar modos de protección reforzada son piezas clave para convivir con un panorama en el que las betjening af spyware og digital vigilancia siguen ganando sofisticación año tras año.