Resumen ejecutivo
Se han identificado dos graves vulnerabilidades en varios sistemas operativos de Apple que podrían ser explotadas por atacantes. Una, catalogada de alta gravedad (CVSS 7.5), está relacionada con un problema de corrupción de memoria en el procesamiento de secuencias de audio que podría permitir la ejecución de código malicioso. El segundo problema, considerado de gravedad media (CVSS 6.8), podría permitir a un atacante evadir la autenticación de puntero a través de la lectura y escritura arbitraria. Apple ha informado que estos problemas podrían haber sido explotados en ataques altamente sofisticados contra individuos específicos. Las vulnerabilidades han sido resueltas con la emisión de actualizaciones de seguridad en las diversas plataformas afectadas. Se recomienda encarecidamente a los usuarios que actualicen sus dispositivos a las versiones más recientes para protegerse contra estas amenazas.
Recursos afectados
- Apple iOS (versiones específicas no mencionadas)
- Apple iPadOS (versiones específicas no mencionadas)
- Apple macOS (versiones específicas no mencionadas)
- Otros productos Apple (versiones específicas no mencionadas)
Análisis técnico
- CVE-2025-31200: Se resolvió un problema de corrupción de memoria mejorando la verificación de los límites. Este problema se resolvió en tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1 y iPadOS 18.4.1, y macOS Sequoia 15.4.1. El procesamiento de una secuencia de audio en un archivo multimedia manipulado con fines maliciosos puede provocar la ejecución de código. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS.
- CWE-787
- CVSS: 7.5
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: Detectada
- CVE-2025-31201: Este problema se resolvió eliminando el código vulnerable. Este problema ha sido corregido en tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1, iPadOS 18.4.1, y macOS Sequoia 15.4.1. Un atacante con habilidad para lectura y escritura arbitraria podría evadir la autenticación de puntero. Apple tiene conocimiento de un informe que señala que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS.
- CWE: N/A
- CVSS: 6.8
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
- Explotación: Detectada
Mitigación / Solución
El fabricante, Apple, recomienda para mitigar la vulnerabilidad 'Apple Multiple Products Arbitrary Read and Write Vulnerability' (CVE-2025-31201) así como 'Apple Multiple Products Memory Corruption Vulnerability' (CVE-2025-31200) en varios de sus productos incluyendo iOS, iPadOS, macOS, entre otros, lo siguiente: se debe aplicar medidas de mitigación siguiendo las instrucciones del proveedor, cumplir con las pautas aplicables BOD 22-01 para servicios en la nube, o en caso contrario, si las mitigaciones no están disponibles, recomienda descontinuar el uso del producto. Para instrucciones detalladas, debe hacer referencia a la documentación del proveedor en los enlaces proporcionados en la sección de notas. La acción requerida debe completarse antes de la fecha indicada, 2025-05-08.