Apple lanzó el martes una puesta al día de seguridad para afrontar un defecto de día cero que, según él, ha sido explotado en ataques “extremadamente sofisticados”.
A la vulnerabilidad se le ha asignado el identificador CVE CVE-2025-24201 y está enraizado en el componente del motor del navegador web WebKit.
Se ha descrito como un problema de escritura fuera de los límites que podría permitir a un atacante elaborar contenido web astuto de modo que pueda salir del contenido web Sandbox.
Apple dijo que resolvió el problema con los controles mejorados para evitar acciones no autorizadas. Además señaló que es una opción complementaria para un ataque que fue bloqueado en iOS 17.2.
Por otra parte, reconoció que la vulnerabilidad “puede acontecer sido explotada en un ataque extremadamente sofisticado contra individuos específicos específicos en versiones de iOS ayer de iOS 17.2”.
Sin bloqueo, el aviso no menciona si el propio equipo de seguridad de Apple descubrió la defecto o si un investigador extranjero lo informó. Siquiera menciona cuándo comenzaron los ataques, cuánto tiempo duraron y quién fue el objetivo.
La puesta al día está apto para los siguientes dispositivos y versiones del sistema activo –
- iOS 18.3.2 e iPados 18.3.2 -iPhone XS y más tarde, iPad Pro de 13 pulgadas, iPad Pro de 12.9 pulgadas 3rd Generation y más tarde, iPad Pro de 11 pulgadas de 11 pulgadas y más tarde, iPad Air 3rd Generation y más tarde, iPad 7th Generation y más tarde, y iPad Mini 5th Generation y más tarde
- MacOS Sequoia 15.3.2 – Macs ejecutando macOS Sequoia
- Safari 18.3.1 – Macs ejecutando MacOS Ventura y Macos Sonoma
- Visionos 2.3.2 – Apple Vision Pro
Con el zaguero mejora, Apple ha abordado un total de tres días cero explotados activamente en su software desde el principio del año, los otros dos son CVE-2025-24085 y CVE-2025-24200.
