Noticias

Actualización de seguridad de Apple - Abril 2025

Fecha de publicación: 

Resumen ejecutivo

Durante el último mes, Apple ha publicado actualizaciones de seguridad que corrigen un total de 21 vulnerabilidades. Estas afectan a sistemas operativos como iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS y al navegador Safari.

Además, Cisa ha notificado 2 vulnerabilidades activamente explotadas en ataques sofisticados dirigidos a usuarios de iOS. La CVE-2025-31200 permitía ejecución remota de código al procesar archivos de audio manipulados (CWE-787, CVSS 7.5), mientras que la CVE-2025-31201 permitía evadir la autenticación de puntero mediante lectura/escritura arbitraria (CVSS 6.8). Ambos fallos se resolvieron en actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y visionOS.

Recursos afectados

  • iOS 18.4.1 y iPadOS 18.4.1
  • macOS Sequoia 15.4.1
  • tvOS 18.4.1
  • visionOS 2.4.1
  • CarPlay Communication Plug-in R18.1 Updates
  • watchOS 11.4

Análisis técnico

  • CVE-2025-31200: Se resolvió un problema de corrupción de memoria mejorando la verificación de los límites. Este problema se solucionó en tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1 y iPadOS 18.4.1, macOS Sequoia 15.4.1. El procesamiento de una secuencia de audio en un archivo multimedia malicioso puede provocar la ejecución de código. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra personas específicas en iOS.
    • CWE-787
    • Puntuación CVSS: 7.5
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2025-30430: Este problema se resolvió mediante una mejor gestión de estados. Se solucionó en visionOS 2.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4. El autocompletado de contraseñas podría rellenarlas incluso tras fallar la autenticación.
    • CWE-287
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24237: Se solucionó un desbordamiento de búfer mejorando la verificación de los límites. Solucionado en visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Una app podría provocar la terminación inesperada del sistema.
    • CWE-120
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31183: El problema se solucionó mejorando la restricción de acceso a contenedores de datos. Corregido en macOS Sonoma 14.7.5, iOS 18.4 y iPadOS 18.4, tvOS 18.4, macOS Sequoia 15.4. Una app podría acceder a datos sensibles del usuario.
    • CWE-200
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31182: Se resolvió el problema mejorando el manejo de enlaces simbólicos. Corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Una app podría eliminar archivos para los cuales no tiene permisos.
    • CWE-862
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24167: Este problema se resolvió mejorando la gestión de estados. Corregido en Safari 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4. El origen de una descarga podría asociarse incorrectamente.
    • NVD-CWE-noinfo
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24190: Se solucionó el problema mejorando el manejo de memoria. Corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. El procesamiento de un archivo de video malicioso podría provocar la terminación inesperada de la app o corrupción de memoria.
    • CWE-400
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30426: Este problema se resolvió mediante comprobaciones adicionales de permisos. Corregido en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4. Una app podría enumerar las aplicaciones instaladas del usuario.
    • CWE-200
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24230: Se resolvió un problema de lectura fuera de límites mejorando la validación de entradas. Corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Reproducir un archivo de audio malicioso podría provocar la terminación inesperada de una app.
    • CWE-125
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24238: Un problema lógico fue resuelto mediante mejoras en las comprobaciones. Corregido en macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Una app podría obtener privilegios elevados.
    • CWE-276
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30433: Se resolvió el problema mejorando las restricciones de acceso. Corregido en visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Un acceso directo podría acceder a archivos normalmente inaccesibles para la app de Atajos.
    • CWE-284
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24264: Se solucionó el problema mejorando el manejo de memoria. Corregido en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, Safari 18.4. El procesamiento de contenido web malicioso podría provocar un cierre inesperado de Safari.
    • CWE-400
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24178: Este problema se resolvió mejorando la gestión de estados. Corregido en macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Una app podría salir de su sandbox.
    • NVD-CWE-noinfo
    • Puntuación CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24201: Se resolvió un problema de escritura fuera de límites mediante comprobaciones mejoradas para evitar acciones no autorizadas. Este problema fue corregido en visionOS 2.3.2, iOS 18.3.2 y iPadOS 18.3.2, macOS Sequoia 15.3.2, Safari 18.3.1, watchOS 11.4, iPadOS 17.7.6, iOS 16.7.11 y iPadOS 16.7.11, iOS 15.8.4 y iPadOS 15.8.4. Contenido web malicioso podría evadir el sandbox de contenido web. Esta es una corrección complementaria a un ataque bloqueado en iOS 17.2. (Apple tiene conocimiento de un informe que indica que esta vulnerabilidad podría haber sido explotada en ataques sofisticados dirigidos a usuarios específicos en versiones anteriores a iOS 17.2).
    • CWE-787
    • Puntuación CVSS: 8.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24180: El problema se solucionó mediante una validación mejorada de entradas. Este fallo fue corregido en Safari 18.4, visionOS 2.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4. Un sitio web malicioso podría reclamar credenciales WebAuthn de otro sitio web que comparta un sufijo registrable.
    • CWE-601
    • Puntuación CVSS: 8.1
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2024-48958: La función execute_filter_delta en archive_read_support_format_rar.c de libarchive anterior a la versión 3.7.5 permite accesos fuera de límites mediante un archivo RAR manipulado, ya que el puntero `src` puede avanzar más allá de `dst`.
    • CWE-125
    • Puntuación CVSS: 7.8
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24213: Este problema se resolvió mejorando el manejo de números flotantes. Corregido en tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4. Una confusión de tipo podría causar corrupción de memoria.
    • CWE-843
    • Puntuación CVSS: 7.8
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24173: Este problema se resolvió mediante verificaciones adicionales de permisos. Corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Una app podría escapar de su sandbox.
    • CWE-284
    • Puntuación CVSS: 7.8
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-56171: Las versiones de libxml2 anteriores a 2.12.10 y 2.13.x anteriores a 2.13.6 presentan un uso de memoria después de liberarla (use-after-free) en las funciones `xmlSchemaIDCFillNodeTables` y `xmlSchemaBubbleIDCNodeTables` en xmlschemas.c. Para explotar esta vulnerabilidad, se requiere un documento XML diseñado que se valide contra un esquema XML con ciertas restricciones de identidad, o usar un esquema XML manipulado.
    • CWE-416
    • Puntuación CVSS: 7.8
    • Vector CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2025-24243: El problema fue solucionado mejorando el manejo de memoria. Este fallo fue corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. El procesamiento de un archivo malicioso podría permitir la ejecución arbitraria de código.
    • CWE-94
    • Puntuación CVSS: 7.8
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30471: Un problema de validación fue corregido mediante lógica mejorada. Este fallo se resolvió en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Un usuario remoto podría provocar una denegación de servicio.
    • CWE-20
    • Puntuación CVSS: 7.5
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

Se recomienda a los usuarios a que actualicen sus dispositivos a las versiones corregidas.

Referencias adicionales