Noticias

Actualización mensual de seguridad para productos de Apple

Fecha de publicación: 

Durante el mes de enero, Apple ha publicado actualizaciones de seguridad para los sistemas operativos visionOS, iOS y iPadOS, macOS Sequoia, Ventura y Sonoma, watchOS, tvOS y el navegador Safari, para los que se tratan 30 vulnerabilidades entre las que se encuentran 17 de severidad crítica. Por otra parte, Apple dentificó una vulnerabilidad 0-day que afecta al componente CoreMedia en los sistemas operativos de Apple tvOS 18.3, watchOS 11.3, macOS Sequoia 15.3, iOS 18.3, iPadOS 18.3 y visionOS 2.3. El identificador de la misma es el CVE-2025-24085 de la que se conoce su explotación en versiones de iOS anteriores a iOS 17.2.

Recursos afectados

  • GarageBand 10.4.12
  • visionOS 2.3
  • iOS 18.3 y iPadOS 18.3
  • iPadOS 17.7.4
  • macOS Sequoia 15.3
  • macOS Sonoma 14.7.3
  • macOS Ventura 13.7.3
  • watchOS 11.3
  • tvOS 18.3
  • Safari 18.3
  • tvOS 18.2.1
  • iOS 18.2.1 y iPadOS 18.2.1

 

Análisis técnico

El detalle de las vulnerabilidades más siginificativas es el siguiente:

  • CVE-2025-24162: Este problema se solucionó mediante una mejor gestión del estado. La corrección está disponible en visionOS 2.3, Safari 18.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Procesar contenido web malicioso podría provocar un cierre inesperado del proceso.
  • CWE-
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24154: Se corrigió un problema de escritura fuera de límites mediante una mejor validación de entrada. La solución está disponible en macOS Ventura 13.7.3, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3 y macOS Sequoia 15.3. Un atacante podría causar la terminación inesperada del sistema o corromper la memoria del kernel.
  • CWE-787
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24126: Se abordó un problema de validación de entrada. La corrección está disponible en visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Un atacante en la red local podría causar la terminación inesperada del sistema o corromper la memoria del proceso.
  • CWE-
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24163: Este problema se solucionó con mejores verificaciones. La corrección está disponible en iPadOS 17.7.4, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Analizar un archivo podría provocar el cierre inesperado de una aplicación.
  • CWE-770
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24123: Este problema se solucionó con mejores verificaciones. La corrección está disponible en iPadOS 17.7.4, macOS Ventura 13.7.3, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Analizar un archivo podría provocar el cierre inesperado de una aplicación.
  • CWE-770
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24124: Este problema se solucionó con mejores verificaciones. La corrección está disponible en iPadOS 17.7.4, macOS Ventura 13.7.3, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Analizar un archivo podría provocar el cierre inesperado de una aplicación.
  • CWE-770
  • Puntuación CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24150: Se abordó un problema de privacidad con un mejor manejo de archivos. La corrección está disponible en macOS Sequoia 15.3, Safari 18.3, iOS 18.3 e iPadOS 18.3. Copiar una URL desde el Inspector Web podría permitir la inyección de comandos.
  • CWE-77
  • Puntuación CVSS: 8.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2025-24137: Se corrigió un problema de confusión de tipos con mejores verificaciones. La solución está disponible en iPadOS 17.7.4, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Un atacante remoto podría causar la terminación inesperada de una aplicación o la ejecución de código arbitrario.
  • CWE-843
  • Puntuación CVSS: 8.0
  • Vector CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2025-24107: Se abordó un problema de permisos con restricciones adicionales. La corrección está disponible en macOS Sequoia 15.3, tvOS 18.3, watchOS 11.3, iOS 18.3 e iPadOS 18.3. Una aplicación maliciosa podría obtener privilegios de root.
  • CWE-
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • CVE-2024-44142: Este problema se solucionó con mejores verificaciones de límites. La corrección está disponible en GarageBand 10.4.12. Procesar una imagen maliciosamente creada podría permitir la ejecución de código arbitrario.
  • CWE-
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2025-24159: Se abordó un problema de validación con una lógica mejorada. La corrección está disponible en iPadOS 17.7.4, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Una aplicación podría ejecutar código arbitrario con privilegios del kernel.
  • CWE-94
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2025-24085: Se corrigió un problema de uso después de liberación con una mejor gestión de memoria. La solución está disponible en visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Una aplicación maliciosa podría elevar privilegios. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado activamente en versiones de iOS anteriores a iOS 17.2.
  • CWE-416
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2024-9956: Una implementación inapropiada en WebAuthentication en Google Chrome para Android permitía a un atacante local escalar privilegios mediante una página HTML maliciosa. (Gravedad de seguridad de Chromium: Media)
  • CWE-
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • CVE-2025-24156: Se corrigió un desbordamiento de enteros mediante una mejor validación de entrada. La solución está disponible en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Una aplicación podría elevar privilegios.
  • CWE-190
  • Puntuación CVSS: 7.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • CVE-2025-24129: Se corrigió un problema de confusión de tipos con mejores verificaciones. La solución está disponible en visionOS 2.3, iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Un atacante remoto podría causar el cierre inesperado de una aplicación.
  • CWE-843
  • Puntuación CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2025-24177: Se corrigió un problema de desreferenciación de puntero nulo con una mejor validación de entrada. La solución está disponible en macOS Sequoia 15.3, iOS 18.3 e iPadOS 18.3. Un atacante remoto podría causar una denegación de servicio.
  • CWE-476
  • Puntuación CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2025-24120: Este problema se solucionó con una mejor gestión del ciclo de vida de los objetos. La corrección está disponible en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Un atacante podría causar el cierre inesperado de una aplicación.
  • CWE-
  • Puntuación CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2025-24169: Se abordó un problema de registro con una mejor redacción de datos. La corrección está disponible en macOS Sequoia 15.3 y Safari 18.3. Una aplicación maliciosa podría eludir la autenticación de extensiones del navegador.
  • CWE-
  • Puntuación CVSS: 7.5
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Mitigación / Solución

Se recomienda a los usuarios a que actualicen sus dispositivos a las versiones corregidas.

Referencias adicionales