WebKit ha sido hackeado: una vulnerabilidad Zero Day a gran escala ha afectado a todo el ecosistema de Apple

Apple lanzó actualizaciones de seguridad de emergencia para corregir una vulnerabilidad Zero-Day que se utilizaba en ataques de alta complejidad.

La vulnerabilidad CVE-2025-24201 fue descubierta en el motor WebKit, utilizado en el navegador Safari, así como en muchas otras aplicaciones y navegadores en macOS, iOS, Linux y Windows. Según Apple, la vulnerabilidad está relacionada con un error de escritura fuera de los límites del array (out-of-bounds write) y podría permitir a los atacantes escapar del sandbox de Web Content al abrir contenido web especialmente diseñado.

Este fallo actúa como una medida de protección adicional frente a un ataque previamente bloqueado en iOS 17.2. La empresa destacó que el problema podría haberse utilizado en ataques dirigidos contra usuarios específicos en versiones anteriores de iOS, lanzadas antes de la 17.2. Para corregir la vulnerabilidad, se han implementado verificaciones mejoradas en las actualizaciones iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 y Safari 18.3.1.

Se encuentran en riesgo tanto dispositivos nuevos como modelos más antiguos de Apple, incluyendo:

• iPhone XS y modelos posteriores;
• iPad Pro (a partir de la versión de 12,9 pulgadas de 3ª generación y la versión de 11 pulgadas de 1ª generación);
• iPad Air (desde la 3ª generación);
• iPad (desde la 7ª generación);
• iPad mini (desde la 5ª generación);
• computadoras Mac con macOS Sequoia;
• visor Apple Vision Pro.

Hasta el momento, la empresa no ha revelado quién descubrió la vulnerabilidad ni ha proporcionado detalles sobre los ataques en los que se utilizó. Apple recomienda encarecidamente instalar las actualizaciones lo antes posible, incluso si el exploit solo se ha utilizado en ataques dirigidos.