Séptimo zero-day de 2025: Apple reconoció que un meme podría haber comprometido tu iPhone

Séptimo zero-day de 2025: Apple reconoció que un meme podría haber comprometido tu iPhone

Mientras miras la foto, el iPhone ya ha sido hackeado.

image

Apple ha publicado actualizaciones de seguridad para iOS, iPadOS y macOS que corrigen una nueva vulnerabilidad zero-day que ya se está explotando en ataques reales. La falla recibió el identificador CVE-2025-43300 y afecta al framework ImageIO. Está relacionada con una escritura fuera de los límites (out-of-bounds write) al procesar una imagen especialmente preparada, lo que puede provocar corrupción de memoria (memory corruption) y la ejecución de código arbitrario. La compañía precisó que el problema podría haberse utilizado en ataques extremadamente sofisticados dirigidos a usuarios concretos.

La vulnerabilidad fue descubierta internamente por Apple y se solucionó añadiendo comprobaciones estrictas de los límites. Las correcciones se incluyen en las siguientes versiones del sistema:

  • iOS 18.6.2 y iPadOS 18.6.2 — iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 7.ª generación y posteriores, iPad mini de 5.ª generación y posteriores
  • iPadOS 17.7.10 — iPad Pro de 12,9 pulgadas de 2.ª generación, iPad Pro de 10,5 pulgadas e iPad de 6.ª generación
  • macOS Ventura 13.7.8 — Mac con macOS Ventura
  • macOS Sonoma 14.7.8 — Mac con macOS Sonoma
  • macOS Sequoia 15.6.1 — Mac con macOS Sequoia

Por ahora se desconoce quién está detrás de la explotación de CVE-2025-43300 y cuáles eran sus objetivos, aunque el contexto indica que se trató de ataques dirigidos que emplearon herramientas costosas. La propia Apple calificó el incidente como de ejecución extremadamente compleja.

Desde comienzos de 2025, esta es ya la séptima vulnerabilidad zero-day que la compañía ha cerrado tras confirmarse su uso en condiciones reales. Anteriormente se corrigieron los problemas identificados como CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 y CVE-2025-43200. En julio también se solucionó un fallo en Safari (CVE-2025-6558), relacionado con un componente de código abierto que ya había sido utilizado por atacantes en ataques contra el navegador Google Chrome.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

Detectan nueva técnica de hackers: esconden un "código secreto" tras los rostros de los famosos con un truco insólito

Seis meses de hackeo: Salesloft restablece la integración, pero hay un detalle...

El mercado de DDoS se desploma: ha perdido al 90% de sus usuarios y los que quedan temen al FBI

¿Zero-day en Cisco? Expertos detectan un repentino aumento de ataques contra dispositivos ASA

Primero las fotos, luego tus pensamientos: la «censura sigilosa» para los ciudadanos comenzará con una sola ley

Tras siete años en la sombra y con sus responsables en el banquillo, está cerca el final de BlackDB

Patch Tuesday de septiembre: 81 razones para actualizar de inmediato; dos de ellas ya se están explotando en ataques

Fábricas de estafas con apoyo estatal: un pequeño país se ha convertido en la capital mundial del cibercrimen, donde las víctimas son tanto materia prima como mano de obra.

La nueva vida de Boris Johnson: un archivo filtrado revela qué hizo el ex primer ministro tras su dimisión — desde honorarios multimillonarios hasta programas de telerrealidad.