Apple lanzó el miércoles actualizaciones de seguridad para iOS, iPadOS, macOS Sequoia, tvOS y visionOS para abordar dos fallas de seguridad que, según dice, han sido objeto de explotación activa.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2025-31200 (puntuación CVSS: 7,5): una vulnerabilidad de corrupción de memoria en el marco Core Audio que podría permitir la ejecución de código al procesar una transmisión de audio en un archivo multimedia creado con fines malintencionados.

• CVE-2025-31201 (puntuación CVSS: 6,8): una vulnerabilidad en el componente RPAC que podría ser utilizada por un atacante con capacidad de lectura y escritura arbitraria para eludir la autenticación de puntero.

El fabricante del iPhone dijo que abordó CVE-2025-31200 con una verificación de límites mejorada y CVE-2025-31201 eliminando la sección vulnerable del código.

Ambas vulnerabilidades han sido atribuidas a Apple, junto con Google Threat Analysis Group (TAG) por informar CVE-2025-31200.

Apple, como suele suceder con este tipo de avisos, dijo que está al tanto de que los problemas han sido "explotados en un ataque extremadamente sofisticado contra individuos específicos en iOS".

Con el último desarrollo, Apple ha abordado un total de cinco días cero explotados activamente en su software desde principios de año.

• CVE-2025-24085 (puntuación CVSS: 7,8): un error de uso después de la liberación en el componente Core Media que podría permitir que una aplicación maliciosa ya instalada en un dispositivo eleve privilegios.

• CVE-2025-24200 (puntuación CVSS: 4.6): un problema de autorización en el componente Accesibilidad que podría permitir a un atacante deshabilitar el modo restringido USB en un dispositivo bloqueado como parte de un ataque ciberfísico.

• CVE-2025-24201 (puntuación CVSS: 7,1): un problema de escritura fuera de límites en el componente WebKit que podría explotarse para escapar del entorno limitado de contenido web mediante contenido web creado con fines maliciosos.

Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:

• iOS 18.4.1 y iPadOS 18.4.1 : iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 13,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de séptima generación y posteriores, y iPad mini de quinta generación y posteriores

• macOS Sequoia 15.4.1 - Macs con macOS Sequoia

• tvOS 18.4.1 - Apple TV HD y Apple TV 4K (todos los modelos)

• visionOS 2.4.1 - Apple Vision Pro

Ante la explotación activa, se recomienda a los usuarios que actualicen sus dispositivos a la última versión para protegerse contra riesgos.

Fuente: https://thehackernews.com/2025/04/apple-patches-two-actively-exploited.html