Apple acaba de lanzar actualizaciones de emergencia para corregir una nueva vulnerabilidad de tipo zero-day que ya estaba siendo aprovechada activamente en lo que la compañía describe como un “ataque extremadamente sofisticado”.
La falla, identificada como CVE-2025-43300, fue detectada en el componente Image I/O, que es el sistema que usa Apple para manejar imágenes en sus dispositivos. Según los investigadores de seguridad, el problema radica en un error de escritura fuera de los límites (out-of-bounds write), una falla crítica que podría permitir a los atacantes ejecutar código malicioso simplemente manipulando imágenes diseñadas para explotar esa debilidad.
Apple ha lanzado un nuevo parche de seguridad tras detectar que una peligrosa vulnerabilidad estaba siendo activamente explotada en ataques altamente sofisticados contra objetivos específicos.
La falla está relacionada con un tipo de error conocido como escritura fuera de los límites (out-of-bounds write). ¿Qué significa eso en lenguaje claro? Básicamente, ocurre cuando una aplicación escribe datos donde no debería dentro de la memoria del dispositivo. Esto puede causar desde fallos menores o pérdida de datos, hasta algo mucho más grave: permitir que atacantes ejecuten código malicioso de forma remota, sin que el usuario lo note.
Según Apple, "el procesamiento de un archivo de imagen malicioso podría provocar daños en la memoria". Esto se debe a que la vulnerabilidad afecta a Image I/O, el componente encargado de procesar imágenes en iOS, macOS y iPadOS. En términos simples: abrir una imagen aparentemente inofensiva podría ser suficiente para comprometer tu dispositivo.
"Apple está al tanto de un informe de que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos", informó la compañía en sus avisos de seguridad publicados este miércoles.
Apple ha mejorado los mecanismos de verificación de límites en el código, lo que evita que se escriban datos fuera del área segura de la memoria. Esta solución ya está disponible en las siguientes versiones del sistema operativo:
iOS 18.6.2
iPadOS 18.6.2 y 17.7.10
macOS Sequoia 15.6.1
macOS Sonoma 14.7.8
macOS Ventura 13.7.8
Si tienes alguno de estos dispositivos, asegúrate de instalar la actualización cuanto antes para mantener tu sistema protegido frente a posibles ataques.
Podría interesarte leer: Microsoft Patch Tuesday Agosto 2025: 107 Vulnerabilidades Corregidas
Esta vez, la lista de dispositivos afectados por la nueva vulnerabilidad zero-day es bastante amplia. El fallo de seguridad impacta tanto a modelos antiguos como a los más recientes, lo que significa que millones de usuarios podrían estar en riesgo si no actualizan sus equipos a tiempo.
iPhone XS en adelante
iPad Pro de 13 pulgadas
iPad Pro de 12,9 pulgadas (3.ª generación y posteriores)
iPad Pro de 11 pulgadas (1.ª generación y posteriores)
iPad Air (3.ª generación y posteriores)
iPad (7.ª generación y posteriores)
iPad mini (5.ª generación y posteriores)
También modelos como el iPad Pro de 12,9 pulgadas (2.ª gen), iPad Pro de 10,5 pulgadas y iPad de 6.ª generación
Dispositivos que ejecuten macOS Sequoia, macOS Sonoma y macOS Ventura
Aunque Apple ha confirmado la existencia de la vulnerabilidad y su explotación activa, aún no ha atribuido públicamente el hallazgo a un investigador específico, ni ha compartido detalles técnicos de los ataques, los cuales han sido descritos como “extremadamente sofisticados”.
Apple también señala que este tipo de vulnerabilidad probablemente se ha usado en ataques altamente dirigidos, eso no significa que estés fuera de peligro. De hecho, los exploits zero-day suelen comenzar afectando a objetivos específicos, y luego se expanden rápidamente si no se corrigen a tiempo.
Por eso, Apple recomienda encarecidamente instalar las actualizaciones de seguridad de inmediato, sin esperar. No hacerlo podría dejar tu dispositivo expuesto a posibles ataques en curso.
Conoce más sobre: Gestión de Parches: ¿Por qué es esencial en la seguridad informática?
Con esta última vulnerabilidad (la CVE-2025-43300) Apple suma seis fallos zero-day corregidos en lo que va del año, lo cual es una señal clara de que los ataques avanzados siguen aumentando en frecuencia e intensidad. Aquí te dejamos un resumen:
Enero: CVE-2025-24085
Febrero: CVE-2025-24200
Marzo: CVE-2025-24201
Abril: CVE-2025-31200 y CVE-2025-31201
Y eso no es todo. En 2024, la empresa también tuvo que enfrentarse a seis vulnerabilidades zero-day que estaban siendo explotadas activamente, registradas en:
Enero,
Marzo (2 vulnerabilidades),
Mayo,
y Noviembre (2 vulnerabilidades).
Este panorama refuerza una realidad: ni siquiera los sistemas más seguros son inmunes a los ataques, y la mejor defensa que tienen los usuarios es mantener siempre sus dispositivos actualizados.