Vulnerabilidades en Productos Apple
Las vulnerabilidades identificadas (CVE-2025-6558, CVE-2025-7424, CVE-2025-7425) representan un riesgo crítico para dispositivos Apple. Aquí se detallan impactos, productos afectados y acciones urgentes:
1. Vulnerabilidades Críticas y su Impacto
CVE-2025-6558 (CVSS 8.8)
- Mecanismo: Validación insuficiente en componentes ANGLE/GPU (motor gráfico compartido entre Chrome y WebKit).
- Impacto:
- Escape del sandbox del navegador → ejecución remota de código (RCE) a nivel de sistema.
- Explotación activa confirmada en ataques zero-day contra usuarios de Chrome, extendido a WebKit (Safari) .
- Vector: Página HTML maliciosa con shaders/WebGL manipulados.
CVE-2025-7424 (CVSS 7.8) y CVE-2025-7425 (CVSS 7.8)
- Mecanismo:
- Corrupción de memoria en bibliotecas libxslt (CVE-2025-7424: confusión de tipos en transformaciones XML).
- Gestión defectuosa de atributos en libxml2 (CVE-2025-7425: corrupción del heap).
- Impacto:
- Denegación de servicio (DoS) o ejecución de código arbitrario al procesar contenido web malicioso.
- Afecta a todos los navegadores basados en WebKit (Safari, Apple TV, Vision Pro) .
2. Productos Afectados y Versiones Vulnerables
Tabla resumen de sistemas en riesgo y versiones seguras:
| Sistema Operativo | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| iOS/iPadOS | < 18.6 | 18.6 |
| macOS Sequoia | < 15.6 | 15.6 |
| macOS Sonoma/Ventura | < 14.7.7 / < 13.7.7 | 14.7.7 / 13.7.7 |
| tvOS | < 18.6 | 18.6 |
| visionOS | < 2.6 | 2.6 |
| watchOS | < 11.6 | 11.6 |
Nota:
- Dispositivos obsoletos (ej: iPhone 8, iPad 6ta gen) no reciben parches → riesgo permanente .
- CVE-2025-6558 afecta incluso a Apple TV HD/4K y Vision Pro .
3. Riesgos Asociados y Explotación Confirmada
- CVE-2025-6558:
- Usado en ataques dirigidos a periodistas, activistas y disidentes políticos (tácticas atribuidas a state-sponsored actors) .
- Permite robo de datos sensibles (geolocalización, metadatos multimedia) y control remoto del dispositivo .
- Vulnerabilidades en WebKit:
- 15 fallos adicionales corregidos en Safari 18.6, incluyendo cross-site scripting (XSS) y divulgación de información .
4. Plan de Acción Inmediato
a) Actualización Obligatoria
- iOS/iPadOS: Ajustes → General → Actualización de Software → Instalar iOS 18.6.
- Dispositivos Apple TV/Apple Watch: Actualizar vía Configuración → Sistema → Actualizaciones.
macOS:
softwareupdate --install --all # Terminal para actualizar a macOS 15.6/14.7.7/13.7.7
5. Consecuencias de No Actualizar
| Escenario | Impacto |
|---|---|
| Exposición a CVE-2025-6558 | Toma de control total del dispositivo → robo de credenciales iCloud, datos biométricos. |
| Ataques con libxslt/libxml2 | Corrupción de memoria → críticas del sistema o instalación de ransomware. |
| Dispositivos sin soporte | Vulnerabilidad permanente → recomendado reemplazo hardware. |
Referencias Clave
- Boletín oficial de Apple: Safari 18.6 .
- Análisis de explotación de CVE-2025-6558 .
- Alerta HKCERT sobre riesgo extremo .
CSIRT-UC