Apple lanzó el viernes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS, visionOS y su navegador web Safari para abordar dos fallas de seguridad que, según dijo, han sido explotadas en la naturaleza, una de las cuales es la misma falla que fue reparada por Google en Chrome a principios de esta semana.
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-43529 (Puntuación CVSS: N/A): una vulnerabilidad de uso después de la liberación en WebKit que puede provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.
- CVE-2025-14174 (Puntuación CVSS: 8,8): un problema de corrupción de memoria en WebKit que puede provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
Apple dijo que es consciente de que las deficiencias «pueden haber sido explotadas en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26».
Vale la pena señalar que CVE-2025-14174 es la misma vulnerabilidad para la que Google emitió parches en su navegador Chrome el 10 de diciembre de 2025. Ha sido descrita por el gigante tecnológico como un acceso a memoria fuera de los límites en la biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE) de la compañía, específicamente en su renderizador Metal.
A Apple Security Engineering and Architecture (SEAR) y Google Threat Analysis Group (TAG) se les atribuye el descubrimiento y reporte de la falla, mientras que Apple le dio crédito a TAG por encontrar CVE-2025-43529.
Esto indica que las vulnerabilidades probablemente se utilizaron como arma en ataques de software espía mercenario altamente dirigidos, dado que ambos afectan a WebKit, el motor de renderizado que también se utiliza en todos los navegadores web de terceros en iOS y iPadOS, incluidos Chrome, Microsoft Edge, Mozilla Firefox y otros.
Las fallas se han solucionado en las siguientes versiones y dispositivos:
- iOS 26.2 y iPadOS 26.2 – iPhone 11 y posteriores, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 8.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
- iOS 18.7.3 y iPadOS 18.7.3 – iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 7.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- macOS Tahoe 26.2 – Macs con macOS Tahoe
- tvOS 26.2 – Apple TV HD y Apple TV 4K (todos los modelos)
- relojOS 26.2 – Apple Watch Serie 6 y posteriores
- visionOS 26.2 – Apple Vision Pro (todos los modelos)
- Safari 26.2 – Macs con macOS Sonoma y macOS Sequoia
Con estas actualizaciones, Apple ahora ha parcheado nueve vulnerabilidades de día cero que fueron explotadas en estado salvaje en 2025, incluidas CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200, y CVE-2025-43300.
