Síntesis
Apple ha lanzado una actualización de seguridad para corregir una vulnerabilidad de día cero en el motor de renderizado web WebKit. Esta vulnerabilidad podría permitir la ejecución de código arbitrario en los dispositivos afectados.
Nota: El proveedor afirma que CVE-2025-24201 se está explotando activamente en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad objetivo: Crítico (79,23)
Tipología
- Security Feature Bypass
- Arbitrary Code Execution
Descripción e impactos potenciales
Recientemente se ha detectado una explotación activa de la vulnerabilidad CVE-2025-24201 relacionada con WebKit, el motor de renderizado web de Apple utilizado principalmente en el navegador Safari y otras aplicaciones que necesitan mostrar contenido web.
Esta vulnerabilidad, del tipo “Out-of-Bounds Write” y con una puntuación CVSS v3.1 de 9,8, puede utilizarse para eludir los mecanismos de seguridad presentes en el sandbox de WebKit, a través de contenido web diseñado apropiadamente, con el fin de ejecutar código arbitrario en instancias vulnerables.
Productos y/o versiones afectados
Apple
- iOS, versiones anteriores a la 18.3.2
- iPadOS, versiones anteriores a la 18.3.2
- macOS Sequoia, versiones anteriores a 15.3.2
- visionOS, versiones anteriores a 2.3.2
- Safari, versiones anteriores a la 18.3.1
Acciones de mitigación
Siguiendo lo indicado por los proveedores, se recomienda aplicar los parches siguiendo las indicaciones reportadas en los boletines de seguridad, disponibles en la sección de Referencias.
Referencias
https://support.apple.com/en-us/122285
https://support.apple.com/en-us/122281
https://support.apple.com/en-us/122283
https://support.apple.com/en-us/122284
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
