Noticias

Actualización de seguridad de Apple - Marzo 2026

Fecha de publicación: 

Resumen ejecutivo

Durante el mes de marzo de 2026, Apple ha publicado actualizaciones de seguridad que corrigen un total de 27 vulnerabilidades críticas y de alta gravedad. Entre ellas, 3 son de criticidad crítica (CVSS ≥ 9.0), 24 de criticidad alta (CVSS entre 7.0 y 8.9), y 2 presentan evidencia de explotación activa.

Estas vulnerabilidades afectan a diversos sistemas operativos de Apple, incluyendo iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS y Safari. Se recomienda encarecidamente actualizar los dispositivos afectados a la mayor brevedad posible para mitigar estos riesgos de seguridad.

Recursos afectados

  • iOS: 26.4, 18.7.7, 26.3.1, 16.7.15, 15.8.7, 26.3.1, 18.7.6
  • iPadOS: 26.4, 18.7.7, 26.3.1, 16.7.15, 15.8.7, 26.3.1
  • macOS: Tahoe 26.4, Sequoia 15.7.5, Sonoma 14.8.5, 26.3.1, 26.3.2, Tahoe 26.3.2, Tahoe 26.3.1
  • tvOS: 26.4
  • watchOS: 5.3.10, 8.8.2, 26.4
  • visionOS: 26.4
  • Safari: 26.4
  • Xcode: 26.4

Análisis técnico

  • CVE-2026-28858: Se corrigió un desbordamiento de búfer mediante una comprobación de límites mejorada. Este problema se corrigió en iOS 26.4 y iPadOS 26.4. Un usuario remoto podría causar una terminación inesperada del sistema o corromper la memoria del kernel.
    • CWE-120
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-20688: Un problema de manejo de rutas fue abordado con validación mejorada. Este problema está solucionado en iOS 26.4 y iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, visionOS 26.4. Una aplicación podría escapar de su sandbox.
    • CWE-22
    • CVSS: 9.3 (crítica)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-28827: Se abordó un problema de análisis en el manejo de rutas de directorio con una validación de rutas mejorada. Este problema se corrigió en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Una aplicación podría escapar de su sandbox.
    • CWE-22
    • CVSS: 9.3 (crítica)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-20631: Se abordó un problema de lógica con comprobaciones mejoradas. Este problema está solucionado en macOS Tahoe 26.4. Un usuario podría elevar privilegios.
    • CWE N/A
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2023-43010: El problema se abordó con un manejo de memoria mejorado. Este problema se solucionó en iOS 17.2 y iPadOS 17.2, macOS Sonoma 14.2, Safari 17.2, iOS 16.7.15 y iPadOS 16.7.15, iOS 15.8.7 y iPadOS 15.8.7. El procesamiento de contenido web diseñado maliciosamente puede provocar corrupción de memoria.
    • CWE-787
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-23222: Se solucionó un problema de confusión de tipos con comprobaciones mejoradas. Este problema se solucionó en tvOS 17.3, iOS 17.3 y iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 y iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3. El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
    • CWE-843
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2023-43000: Se abordó un problema de uso después de liberar (use-after-free) con una gestión de memoria mejorada. Este problema se ha solucionado en macOS Ventura 13.5, iOS 16.6 e iPadOS 16.6, Safari 16.6, iOS 15.8.7 e iPadOS 15.8.7. El procesamiento de contenido web maliciosamente diseñado puede llevar a la corrupción de memoria.
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2026-28832: Se solucionó una lectura fuera de límites con una comprobación de límites mejorada. Este problema está solucionado en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Una aplicación podría divulgar memoria del kernel.
    • CWE-125
    • CVSS: 8.4 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-28821: Existía un problema de validación en la verificación de derechos. Este problema se abordó con una validación mejorada del derecho del proceso. Este problema está solucionado en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Una aplicación podría obtener privilegios elevados.
    • CWE-20
    • CVSS: 8.4 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-58098: Servidor HTTP Apache 2.4.65 y versiones anteriores con Server Side Includes (SSI) habilitado y mod_cgid (pero no mod_cgi) pasan la cadena de consulta escapada para el shell a las directivas #exec cmd="...". Este problema afecta al Servidor HTTP Apache antes de la versión 2.4.66. Se recomienda a los usuarios que actualicen a la versión 2.4.66, que soluciona el problema.
    • CWE-201
    • CVSS: 8.3 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
    • Explotación: No detectada
  • CVE-2026-28891: Una condición de carrera se abordó con validación adicional. Este problema está solucionado en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Una aplicación podría escapar de su sandbox.
    • CWE-362
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-28817: Una condición de carrera se abordó con una gestión de estado mejorada. Este problema se corrigió en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Un proceso en sandbox podría eludir las restricciones del sandbox.
    • CWE-362
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2026-20698: El problema se abordó con una gestión de memoria mejorada. Este problema se ha solucionado en iOS 26.4 y iPadOS 26.4, macOS Tahoe 26.4, tvOS 26.4, visionOS 26.4, watchOS 26.4. Una aplicación podría causar una terminación inesperada del sistema o corromper la memoria del kernel.
    • CWE-787
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2023-41974: Se solucionó un problema de use after free con una gestión de memoria mejorada. Este problema se solucionó en iOS 17 y iPadOS 17. Es posible que una aplicación pueda ejecutar código arbitrario con privilegios del kernel.
    • CWE-416
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2026-28874: El problema se abordó con comprobaciones mejoradas. Este problema está solucionado en iOS 26.4 y iPadOS 26.4. Un atacante remoto puede causar una terminación inesperada de la aplicación.
    • CWE-400
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-28894: Un problema de denegación de servicio se abordó con una validación de entrada mejorada. Este problema está solucionado en iOS 26.4 y iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Un atacante remoto podría causar una denegación de servicio.
    • CWE-20
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-28875: Un desbordamiento de búfer se abordó con una comprobación de límites mejorada. Este problema está corregido en iOS 26.4 y iPadOS 26.4. Un atacante remoto podría causar una denegación de servicio.
    • CWE-120
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-28865: Un problema de autenticación se abordó con una gestión de estado mejorada. Este problema está solucionado en iOS 18.7.7 y iPadOS 18.7.7, iOS 26.4 y iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, tvOS 26.4, visionOS 26.4, watchOS 26.4. Un atacante en una posición de red privilegiada podría ser capaz de interceptar el tráfico de red.
    • CWE-285
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-28876: Un problema de análisis en el manejo de rutas de directorio se abordó con una validación de rutas mejorada. Este problema está solucionado en iOS 18.7.7 y iPadOS 18.7.7, iOS 26.4 y iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4, visionOS 26.4. Una app podría acceder a datos sensibles del usuario.
    • CWE-284
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-43376: Se abordó un problema de lógica con una gestión de estado mejorada. Este problema se ha solucionado en Safari 26, tvOS 26, watchOS 26, iOS 26, iPadOS 26 y visionOS 26. Un atacante remoto podría ser capaz de ver consultas DNS filtradas con Private Relay activado.
    • CWE N/A
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-59775: Vulnerabilidad de Server-Side Request Forgery (SSRF) en Apache HTTP Server en Windows con AllowEncodedSlashes activado y MergeSlashes desactivado permite potencialmente filtrar hashes NTLM a un servidor malicioso a través de SSRF y solicitudes o contenido malicioso. Se recomienda a los usuarios actualizar a la versión 2.4.66, que soluciona el problema.
    • CWE-918
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-28837: Se abordó un problema de lógica con comprobaciones mejoradas. Este problema está solucionado en macOS Tahoe 26.4. Una app podría acceder a datos sensibles del usuario.
    • CWE-284
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-28842: El problema se abordó con comprobaciones de límites mejoradas. Este problema está solucionado en macOS Tahoe 26.4. Un desbordamiento de búfer puede provocar corrupción de memoria y terminación inesperada de la aplicación.
    • CWE-122
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2026-20701: Se abordó un problema de acceso con restricciones de sandbox adicionales. Este problema está solucionado en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4. Una aplicación podría conectarse a un recurso compartido de red sin el consentimiento del usuario.
    • CWE-693
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2025-55753: Un desbordamiento de entero en el caso de fallos en la renovación del certificado ACME lleva, después de un número de fallos (~30 días en configuraciones predeterminadas), a que el temporizador de retroceso se convierta en 0. Los intentos de renovar el certificado se repiten entonces sin retrasos hasta que tenga éxito. Este problema afecta a Apache HTTP Server: desde la versión 2.4.30 hasta antes de la 2.4.66. Se recomienda a los usuarios actualizar a la versión 2.4.66, que soluciona el problema.
    • CWE-190
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotación: No detectada
  • CVE-2026-20660: Se abordó un problema de manejo de rutas con lógica mejorada. Este problema está solucionado en macOS Tahoe 26.3, macOS Sonoma 14.8.4, iOS 18.7.5 y iPadOS 18.7.5, visionOS 26.3, iOS 26.3 y iPadOS 26.3, Safari 26.3. Un usuario remoto podría escribir archivos arbitrarios.
    • CWE N/A
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotación: No detectada
  • CVE-2026-20639: Se abordó un desbordamiento de entero con una validación de entrada mejorada. Este problema está solucionado en macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.3. El procesamiento de una cadena creada con fines maliciosos puede provocar corrupción de la pila.
    • CWE-190
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

Apple recomienda actualizar los sistemas afectados a las siguientes versiones más recientes disponibles:

  • iOS e iPadOS: Actualizar a la versión más reciente disponible
  • macOS Sequoia: Actualizar a la versión más reciente disponible
  • macOS Sonoma: Actualizar a la versión más reciente disponible
  • macOS Ventura: Actualizar a la versión más reciente disponible
  • tvOS: Actualizar a la versión más reciente disponible
  • watchOS: Actualizar a la versión más reciente disponible
  • visionOS: Actualizar a la versión más reciente disponible
  • Safari: Actualizar a la versión más reciente disponible

Referencias adicionales