Noticias

Actualización de seguridad de Apple- Julio 2025

Fecha de publicación: 

Resumen ejecutivo

Durante el último mes, Apple ha publicado actualizaciones de seguridad que corrigen un total de 25 vulnerabilidades críticas y de alta gravedad. Entre ellas, 2 son de criticidad crítica (CVSS ≥ 9.0), 23 de criticidad alta (CVSS entre 7.0 y 8.9)

Estas vulnerabilidades afectan a diversos sistemas operativos de Apple, incluyendo iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS y Safari. Se recomienda actualizar los dispositivos afectados a la mayor brevedad posible para mitigar estos riesgos de seguridad.

Adicionalmente, se ha detectado, en el mes de junio, una vulnerabilidad activamente explotada, con impacto en las en las versiones 17.7.5 de iPadOS y 18.3.1 de iOS e iPadOS.

Recursos afectados

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Análisis técnico

  • CVE-2025-24259: Este problema se solucionó con comprobaciones de derechos adicionales. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda recuperar marcadores de Safari sin una comprobación de derechos.
    • CWE-862
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30448: Este problema se resolvió con verificaciones de permisos adicionales. Este problema se corrige en macOS Sonoma 14.7.6, iPadOS 17.7.7, iOS 18.5, e iPadOS 18.5, visionOS 2.5, macOS Ventura 13.7.6, y macOS Sequoia 15.4. Un atacante podría habilitar el uso compartido de carpetas de iCloud sin autenticación. Se resolvió este problema con verificaciones adicionales de permisos. Este problema está corregido en macOS Sonoma 14.7.6, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, visionOS 2.5, macOS Ventura 13.7.6 y macOS Sequoia 15.4. Un atacante podría habilitar el uso compartido de una carpeta de iCloud sin autenticación.
    • CWE-862
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31204: El problema fue abordado mediante la mejora de la gestión de la memoria. Esta cuestión ha sido corregida en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malicioso puede resultar en daños en la memoria.
    • CWE-119
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31244: Se resolvió una omisión en la cuarentena de archivos mediante la implementación de controles adicionales. Este problema fue corregido en macOS Sequoia 15.5. Una aplicación podría escapar de su entorno de pruebas.
    • CWE-693
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31246: El problema fue resuelto mediante la mejora de la gestión de la memoria. Esta vulnerabilidad fue corregida en macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Conectarse a un servidor AFP malicioso puede resultar en daños en la memoria del kernel.
    • CWE-119
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31234: La incidencia se resolvió mediante la mejora de la sanitización de la entrada. Este problema ha sido corregido en visionOS 2.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5 y tvOS 18.5. Un atacante podría provocar la terminación del sistema de forma inesperada o dañar la memoria del kernel.
    • CWE-119
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
    • Explotación: No detectada
  • CVE-2025-31214: Este problema se resolvió mejorando la gestión del estado. Este problema fue resuelto en iOS 18.5 e iPadOS 18.5. Un atacante con una posición privilegiada en la red podría interceptar el tráfico de red.
    • CWE-300
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31223: El problema fue resuelto mediante la mejora de las verificaciones. Este problema ha sido corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malicioso puede resultar en daños en la memoria.
    • CWE-119
    • CVSS: 8.0 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24223: El problema fue resuelto mediante la mejora en la gestión de la memoria. Esta vulnerabilidad ha sido corregida en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. La manipulación de contenido web malicioso puede resultar en daños en la memoria.
    • CWE-352
    • CVSS: 8.0 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24213: Este problema se resolvió mejorando el manejo de números de punto flotante. Este problema se corrige en tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4, e iPadOS 18.4, y macOS Sequoia 15.4. Un problema de confusión de tipos podría llevar a la corrupción de memoria.
    • CWE-843
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31222: Un problema de corrección de seguridad se abordó mejorando las verificaciones. Este problema se resolvió en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iOS 18.5, e iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5, y macOS Ventura 13.7.6. Los usuarios podrían ser capaces de escalar privilegios.
    • CWE-269
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24274: Se abordó una vulnerabilidad en la validación de entrada eliminando el código vulnerable. Este problema se ha corregido en macOS Ventura 13.7.6, macOS Sequoia 15.5, y macOS Sonoma 14.7.6. Una aplicación maliciosa podría obtener privilegios de root.
    • Se ha solucionado una vulnerabilidad en la validación de entrada eliminando el código vulnerable. Este problema ha sido corregido en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación maliciosa podría obtener privilegios de root.
  • CWE-20
  • CVSS: 7.8 (alta)
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2025-31259: El problema se resolvió mejorando la sanitización de la entrada. Este problema se corrige en macOS Sequoia 15.5. Una aplicación podría obtener privilegios elevados.
    • CWE-20
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31224: Un problema lógico se resolvió mejorando las verificaciones. Este problema se corrigió en macOS Ventura 13.7.6, macOS Sequoia 15.5, y macOS Sonoma 14.7.6. Una aplicación podría potencialmente eludir ciertas preferencias de privacidad.
    • CWE-693
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30453: El problema fue resuelto mediante la implementación de verificaciones de permisos adicionales. Esta vulnerabilidad ha sido corregida en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Un software malicioso podría adquirir privilegios de root.
    • CWE-280
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24258: Se ha resuelto un problema de permisos con restricciones adicionales. Este problema ha sido corregido en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Una aplicación podría obtener privilegios de root.
    • CWE-269
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-30442: El problema se resolvió mejorando la sanitización de la entrada. Este problema se aborda en macOS Sequoia 15.4, macOS Ventura 13.7.6, y macOS Sonoma 14.7.6. Es posible que una aplicación obtenga privilegios elevados. El problema fue resuelto mejorando la sanitización de la entrada. Este problema está abordado en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Es posible que una aplicación obtenga privilegios elevados.
    • CWE-20 
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31207: Un problema lógico se resolvió mejorando las verificaciones. Este problema se corrigió en iOS 18.5 e iPadOS 18.5. Una aplicación podría listar las aplicaciones instaladas de un usuario.Se resolvió un problema lógico mejorando las verificaciones. Este problema fue corregido en iOS 18.5 y iPadOS 18.5. Una aplicación podía enumerar las aplicaciones instaladas de un usuario.
    • CWE-200
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31213: Un problema de seguridad relacionado con el almacenamiento de datos se abordó mejorando el manejo de datos. Este problema se ha corregido en iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5, y macOS Sonoma 14.7.6. Una aplicación podría potencialmente acceder a nombres de usuario y sitios web asociados almacenados en el Llavero de iCloud de un usuario.
    • CWE-532
    • CVSS: 7.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
    • Explotación: No detectada
  • CVE-2025-31208: El problema se resolvió mejorando las verificaciones. Este problema se corrige en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5, e iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5, y macOS Ventura 13.7.6. Analizar un archivo puede hacer que la aplicación se cierre inesperadamente. El problema se resolvió mejorando las verificaciones. Este problema está corregido en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Analizar un archivo puede provocar el cierre inesperado de la aplicación. 
    • CWE-20
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31221: Se resolvió un desbordamiento de enteros mejorando la validación de entrada. Este problema se corrigió en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5, e iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5, y macOS Ventura 13.7.6. Un atacante remoto podría potencialmente explotar esta vulnerabilidad para filtrar memoria.
    • CWE-190
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2024-8176: Hay una vulnerabilidad de desbordamiento de pila en la biblioteca libexpat debido a la forma en que gestiona la expansión recursiva de entidades en documentos XML. Al analizar un documento XML con referencias a entidades profundamente anidadas, libexpat puede verse forzado a recurrir indefinidamente, agotando el espacio de pila y provocando un bloqueo. Este problema podría resultar en una denegación de servicio (DoS) o, en algunos casos, en una corrupción de memoria explotable, dependiendo del entorno y del uso de la biblioteca.
    • CWE-674
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31237: Este problema se resolvió mejorando las verificaciones. Este problema se resolvió en macOS Ventura 13.7.6, macOS Sequoia 15.5, y macOS Sonoma 14.7.6. Montar un recurso compartido de red AFP manipulado con fines maliciosos puede llevar a la interrupción del sistema. Este problema se resolvió mediante la mejora de las comprobaciones. Se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Montar un recurso compartido de red AFP manipulado con fines maliciosos puede provocar la interrupción del sistema. 
    • CWE-404
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-31247: Un problema lógico se resolvió mejorando la gestión del estado. Este problema se abordó en macOS Ventura 13.7.6, macOS Sequoia 15.5, y macOS Sonoma 14.7.6. Un atacante podría obtener acceso a partes protegidas del sistema de archivos. Se resolvió un problema lógico mejorando la gestión del estado. Este problema fue abordado en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Un atacante podría acceder a partes protegidas del sistema de archivos. 
    • CWE-284
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-31240: Este problema se resolvió mediante la mejora de las comprobaciones. Esta incidencia fue corregida en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Montar un recurso compartido de red AFP manipulado con fines maliciosos puede provocar la interrupción del sistema.
    • CWE-20
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

Apple recomienda actualizar los sistemas afectados a las siguientes versiones:

  • iOS e iPadOS: Actualizar a la versión 18.4.1 o posterior
  • macOS Sequoia: Actualizar a la versión 15.4.1 o posterior
  • macOS Sonoma: Actualizar a la versión 14.6.1 o posterior
  • macOS Ventura: Actualizar a la versión 13.6.6 o posterior
  • tvOS: Actualizar a la versión 18.4.1 o posterior
  • watchOS: Actualizar a la versión 11.4.1 o posterior
  • visionOS: Actualizar a la versión 2.4.1 o posterior
  • Safari: Actualizar a la versión 18.4.1 o posterior

Es importante destacar que algunas de estas vulnerabilidades están siendo explotadas activamente. Se recomienda implementar estas actualizaciones lo antes posible. Para sistemas críticos, realizar una evaluación de riesgos antes de aplicar las actualizaciones.

Referencias adicionales