Apple ha publicado actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero en el motor WebKit. Las fallas, identificadas comoCVE-2025-43529 e CVE-2025-14174, fueron explotados en ataques sofisticados contra individuos específicos.
Los parches llegan en versiones como iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 y otras plataformas de la empresa.
La explotación se produjo a través de contenido web malicioso, sin necesidad de interacción del usuario más allá de cargar una página.
- iPhone 11 y modelos posteriores
- iPad
- iPad Air (tercera generación y posteriores)
- iPad (octava generación y posteriores)
- iPad mini (quinta generación y posteriores)
Detalles de vulnerabilidad
A CVE-2025-43529Este es un error de uso después de la liberación en WebKit.
Este problema permite la ejecución de código arbitrario al procesar contenido web malicioso.
Los investigadores de Google Threat Analysis Group identificaron la falla, que se solucionó con mejoras en la gestión de la memoria.
A CVE-2025-14174implica corrupción de la memoria, también provocada por contenido web elaborado.
Los créditos van a los equipos TAG Apple y Google.
La solución incluyó validaciones mejoradas.
Ambas vulnerabilidades afectan a WebKit, el componente central para representar contenido web en Safari y aplicaciones del ecosistema Apple.
Versiones con correcciones disponibles
Apple hizo que las actualizaciones estuvieran disponibles en múltiples plataformas simultáneamente.
- iOS 26.2 y iPadOS 26.2
- iOS 18.7.3 y iPadOS 18.7.3 (para dispositivos más antiguos)
- macOS Tahoe 26.2
- tvOS 26.2, watchOS 26.2 y visionOS 26.2
- Safari 26.2
La compañía confirmó que los exploits ocurrieron en versiones anteriores a iOS 26.
La coordinación con Google destacó la gravedad, ya que elCVE-2025-14174también afectó a Chrome, recibiendo un parche aparte.
Coordinación entre Apple y Google
Las dos empresas trabajaron juntas para identificar y corregir el problema.
Google Threat Analysis Group, que se especializa en amenazas avanzadas, contribuyó directamente a ambas fallas.
A CVE-2025-14174Inicialmente apareció como una vulnerabilidad en el componente ANGLE de Chrome.
Actualizaciones posteriores vincularon el problema con WebKit en la plataforma Apple.
Esta colaboración refleja preocupaciones compartidas con exploraciones activas.
Los investigadores señalan que la participación de TAG sugiere posibles vínculos con actores estatales o campañas de software espía.
Dispositivos afectados y alcance
Las vulnerabilidades afectan a una amplia gama de hardware Apple.
Los modelos recientes de iPhone y iPad siguen siendo vulnerables sin la actualización.
WebKit se integra profundamente en el sistema, lo que permite que las aplicaciones muestren contenido web sin abrir Safari.
Los ataques sólo requerían la carga de una página maliciosa.
Los dispositivos que ejecutan versiones anteriores de iOS corren un mayor riesgo.
Año con múltiples días cero corregidos
En 2025 se produjeron varias correcciones de día cero en Apple.
Estos incidentes suman al menos entre siete y nueve casos explorados en el mundo real.
Fallas anteriores afectaron a componentes como Kernel e ImageIO.
La frecuencia indica una tendencia creciente de ataques dirigidos a plataformas móviles.
Los expertos destacan la sofisticación de estas campañas, similares a operaciones anteriores con cadenas de exploits.
Recomendaciones para usuarios
Los usuarios deben instalar actualizaciones inmediatamente.
En tu iPhone o iPad, ve a Ajustes > Geral > Atualização de Software.
En Macs, use Preferências de Sistema > Atualização de Software.
Apple refuerza que, aunque los ataques son dirigidos, la aplicación del parche previene riesgos futuros.
Los dispositivos incompatibles con las nuevas versiones reciben actualizaciones de seguridad por separado cuando es posible.
