Noticias

Actualización de seguridad de Apple - Octubre 2025

Fecha de publicación: 

Resumen ejecutivo

Durante el mes de octubre de 2025, Apple ha publicado actualizaciones de seguridad que corrigen un total de 27 vulnerabilidades críticas y de alta gravedad. Entre ellas, 9 son críticas (CVSS ≥ 9.0) y 18 de severidad alta (CVSS entre 7.0 y 8.9), y 1 presenta evidencia de explotación activa, CVE-2025-43300.

Estas vulnerabilidades afectan a diversos sistemas operativos de Apple, incluyendo iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS y Safari. Se recomienda encarecidamente actualizar los dispositivos afectados a la mayor brevedad posible para mitigar estos riesgos de seguridad.

Recursos afectados

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Análisis técnico

  • CVE-2025-43347: Este problema se abordó eliminando el código vulnerable. Este problema se ha solucionado en tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 e iPadOS 26. Se abordó un problema de validación de entrada.
    • CWE-20
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43362: El problema se abordó con controles mejorados. Este problema se ha solucionado en iOS 18.7 y iPadOS 18.7, iOS 26 y iPadOS 26. Una aplicación puede ser capaz de monitorear las pulsaciones de teclas sin el permiso del usuario.
    • CWE-200
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31255: Se abordó un problema de autorización con una gestión de estado mejorada. Este problema se ha solucionado en tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, watchOS 26, macOS Tahoe 26, iOS 26 y iPadOS 26. Una aplicación podría ser capaz de acceder a datos sensibles del usuario.
    • CWE-285
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43342: Se abordó un problema de corrección con verificaciones mejoradas. Este problema se ha solucionado en tvOS 26, Safari 26, iOS 18.7 e iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 e iPadOS 26. El procesamiento de contenido web maliciosamente diseñado puede provocar un fallo inesperado del proceso.
    • CWE-20
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43343: El problema se abordó con una mejora en el manejo de la memoria. Este problema se ha solucionado en tvOS 26, Safari 26, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 y iPadOS 26. El procesamiento de contenido web malicioso puede llevar a un fallo inesperado del proceso.
    • CWE-119
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-6965: Existe una vulnerabilidad en las versiones de SQLite anteriores a la 3.50.2 donde el número de términos agregados podría exceder el número de columnas disponibles. Esto podría causar un problema de corrupción de memoria. Recomendamos actualizar a la versión 3.50.2 o superior.
    • CWE-197
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43359: Se abordó un problema de lógica con una gestión de estado mejorada. Este problema se ha solucionado en tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, iOS 18.7, iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 y iPadOS 26. Un socket de servidor UDP vinculado a una interfaz local puede quedar vinculado a todas las interfaces.
    • CWE-670
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-27280: Se descubrió un problema de sobrelectura del búfer en StringIO 3.0.1, distribuido en Ruby 3.0.x hasta 3.0.6 y 3.1.x hasta 3.1.4. Los métodos ungetbyte y ungetc en StringIO pueden leer más allá del final de una cadena, y una llamada posterior a StringIO.gets puede devolver el valor de la memoria. 3.0.3 es la versión fija principal; sin embargo, para los usuarios de Ruby 3.0, una versión fija es stringio 3.0.1.1, y para los usuarios de Ruby 3.1, una versión fija es stringio 3.0.1.2.
    • CWE-120
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43273: Se solucionó un problema de permisos con restricciones adicionales en el entorno de pruebas. Este problema se solucionó en macOS Sequoia 15.6. Un proceso en un entorno de pruebas podría eludir las restricciones del entorno de pruebas.
    • CWE-693
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2025-43329: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en watchOS 26, tvOS 26, macOS Tahoe 26, iOS 26 e iPadOS 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-862
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43358: Se abordó un problema de permisos con restricciones adicionales en el sandbox. Este problema se ha solucionado en macOS Sequoia 15.7, macOS Sonoma 14.8, iOS 18.7 y iPadOS 18.7, macOS Tahoe 26, iOS 26 y iPadOS 26. Un acceso directo puede ser capaz de eludir las restricciones del sandbox.
    • CWE-862
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43300: Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en macOS Sonoma 14.7.8, macOS Ventura 13.7.8, iPadOS 17.7.10, macOS Sequoia 15.6.1, iOS 18.6.2 y iPadOS 18.6.2. Procesar un archivo de imagen malicioso puede provocar daños en la memoria. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos.
    • CWE-787
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2025-43330: Este problema se abordó eliminando el código vulnerable. Este problema se ha solucionado en macOS Sequoia 15.7 y macOS Tahoe 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-693
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2025-43371: Este problema se abordó con controles mejorados. Este problema se ha solucionado en Xcode 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-284
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotación: No detectada
  • CVE-2025-48384: Git es un sistema de control de versiones distribuido, rápido y escalable, con un conjunto de comandos excepcionalmente completo que proporciona operaciones de alto nivel y acceso completo a su funcionamiento interno. Al leer un valor de configuración, Git elimina cualquier retorno de carro y avance de línea (CRLF) final. Al escribir una entrada de configuración, los valores con un CR final no se entrecomillan, lo que provoca que el CR se pierda al leer la configuración posteriormente. Al inicializar un submódulo, si la ruta del submódulo contiene un CR final, se lee la ruta modificada, lo que provoca que el submódulo se extraiga a una ubicación incorrecta. Si existe un enlace simbólico que apunta la ruta modificada al directorio de ganchos del submódulo, y este contiene un gancho ejecutable posterior a la extracción, el script podría ejecutarse accidentalmente después de la extracción. Esta vulnerabilidad se ha corregido en v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 y v2.50.1.
    • CWE-59
    • CVSS: 8.0 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43372: El problema se abordó con una validación de entrada mejorada. Este problema se ha solucionado en tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 y iPadOS 26. El procesamiento de un archivo multimedia malicioso puede llevar a la terminación inesperada de la aplicación o a la corrupción de la memoria del proceso.
    • NVD-CWE-noinfo
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43340: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en macOS Tahoe 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-284
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43341: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en macOS Sonoma 14.8 y macOS Tahoe 26. Una aplicación puede ser capaz de obtener privilegios de root.
    • CWE-862
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43286: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-862
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-31259: El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en macOS Sequoia 15.5. Una aplicación podría obtener privilegios elevados.
    • CWE-20
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43316: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en macOS Tahoe 26 y visionOS 26. Una aplicación maliciosa podría ser capaz de obtener privilegios de root.
    • CWE-862
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43298: Un problema de análisis en el manejo de rutas de directorio fue abordado con una validación de ruta mejorada. Este problema se ha solucionado en macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26. Una aplicación podría ser capaz de obtener privilegios de root.
    • CWE-41
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43204: Este problema se abordó eliminando el código vulnerable. Este problema se ha solucionado en macOS Tahoe 26. Una aplicación puede ser capaz de salir de su sandbox.
    • CWE-284
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43333: Se abordó un problema de permisos con restricciones adicionales. Este problema se ha solucionado en macOS Tahoe 26. Una aplicación puede ser capaz de obtener privilegios de root.
    • CWE-269
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-43277: El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en iOS 18.6 y iPadOS 18.6, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 y visionOS 2.6. Procesar un archivo de audio manipulado con fines maliciosos puede provocar daños en la memoria.
    • CWE-119
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-24088: El problema se abordó añadiendo lógica adicional. Este problema se ha solucionado en macOS Tahoe 26. Una aplicación puede ser capaz de anular configuraciones impuestas por MDM desde perfiles.
    • CWE-284
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-31271: Este problema se abordó mediante una mejora en la gestión del estado. Este problema se ha solucionado en macOS Tahoe 26. Las llamadas entrantes de FaceTime pueden aparecer o ser aceptadas en un dispositivo macOS bloqueado, incluso con las notificaciones desactivadas en la pantalla de bloqueo.
    • CWE-287
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotación: No detectada

Mitigación / Solución

Apple recomienda actualizar los sistemas afectados a las siguientes versiones más recientes disponibles:

  • iOS e iPadOS: Actualizar a la versión más reciente disponible
  • macOS Sequoia: Actualizar a la versión más reciente disponible
  • macOS Sonoma: Actualizar a la versión más reciente disponible
  • macOS Ventura: Actualizar a la versión más reciente disponible
  • tvOS: Actualizar a la versión más reciente disponible
  • watchOS: Actualizar a la versión más reciente disponible
  • visionOS: Actualizar a la versión más reciente disponible
  • Safari: Actualizar a la versión más reciente disponible

Es importante destacar que 1 de estas vulnerabilidades, CVE-2025-43300, está siendo explotada activamente. Se recomienda implementar estas actualizaciones con la máxima prioridad. Para sistemas críticos, considere realizar una evaluación de riesgos antes de aplicar las actualizaciones.

Referencias adicionales