¿Aún usas un iPhone X? Mala noticia: tu móvil tiene una vulnerabilidad de día cero. Buena noticia: no necesitas comprar uno nuevo.
Modelos antiguos de iPhone vuelven a recibir actualizaciones, pero el motivo preocupa.
Apple lanzó actualizaciones de seguridad adicionales para modelos antiguos de iPhone y iPad, cerrando una vulnerabilidad de día cero que antes se había corregido en las versiones recientes de iOS, iPadOS y macOS. El fallo se rastrea como CVE-2025-43300 y está relacionado con un fallo de escritura fuera de la memoria asignada en la biblioteca Image I/O, responsable del tratamiento de formatos gráficos. Este defecto permitía superar los límites del búfer y, en varios casos, conducía a la ejecución remota de código.
La corrección salió por primera vez el 20 de agosto para iOS 18.6.2, iPadOS 18.6.2 y 17.7.10, así como para macOS Sequoia 15.6.1, Sonoma 14.7.8 y Ventura 13.7.8. Ahora un mecanismo de protección similar ha llegado también a versiones más antiguas: iOS 15.8.5 y 16.7.12, así como iPadOS 15.8.5 y 16.7.12. Apple aclaró que el ajuste afecta al procesamiento de imágenes y evita la corrupción de memoria mediante una comprobación de límites mejorada. La empresa reconoció que la vulnerabilidad se utilizó en un «ataque extremadamente sofisticado» contra víctimas concretas.
La lista de dispositivos afectados es bastante extensa. Entre los iPhone figuran los modelos 6s en todas sus versiones, 7 en todas sus versiones, el SE de primera generación, 8, 8 Plus y X. De la gama iPad: Air 2, mini de cuarta generación, de quinta generación, Pro de 9,7 pulgadas y Pro de 12,9 pulgadas de primera generación. Además, el problema afectó al iPod touch de séptima generación.
El incidente formó parte de una cadena de ataques más compleja. A finales de agosto en WhatsApp se corrigió la vulnerabilidad Zero-Click CVE-2025-55177, que en combinación con CVE-2025-43300 se utilizó en operaciones de espionaje dirigidas. Algunos usuarios de WhatsApp recibieron notificaciones sobre intentos de implantación de software espía avanzado. En la campaña estuvieron implicados otros proveedores: la semana pasada Samsung solucionó una vulnerabilidad de ejecución remota de código que también se usó junto con CVE-2025-55177 para ataques a dispositivos con Android.
Así, CVE-2025-43300 se convirtió en el sexto día cero que Apple tuvo que cerrar en 2025. Antes, la compañía solucionó vulnerabilidades en enero (CVE-2025-24085), febrero (CVE-2025-24200), marzo (CVE-2025-24201) y dos veces en abril (CVE-2025-31200, CVE-2025-31201).