Apple parchea el zero-day CVE-2025-43300 en ImageIO

1. Descripción general y contexto

Apple ha lanzado actualizaciones de emergencia el 20 de agosto de 2025, que abordan una vulnerabilidad crítica de día cero, identificada como CVE-2025-43300, explotada en ataques dirigidos muy sofisticados.

Se trata de un fallo de desbordamiento de escritura (out-of-bounds write) en el framework ImageIO, empleado para procesar imágenes. Al cargar un archivo malicioso, se puede corromper la memoria, lo que abre la puerta a —entre otras cosas— la ejecución remota de código.

2. Detalles técnicos del fallo y corrección aplicada

Apple corrigió esta vulnerabilidad aplicando un mejorado control de límites (bounds checking) en el procesamiento de imágenes, cerrando así la posibilidad de escritura fuera del buffer asignado.

La corrección está disponible en:

• iOS 18.6.2 y iPadOS 18.6.2
• iPadOS 17.7.10 (para modelos más antiguos)
• macOS Sequoia 15.6.1, Sonoma 14.7.8 y Ventura 13.7.8.

Apple confirmó oficialmente que se trata de un ataque dirigido contra individuos específicos, aunque sin brindar más detalles técnicos

3. Explotación y vectores de ataque

Apple ha informado que existe un reporte que indica que esta vulnerabilidad pudo haber sido explotada en un ataque “extremadamente sofisticado” contra individuos concretos.

Aunque no se han dado detalles sobre quiénes fueron las víctimas o los atacantes, el patrón sugiere un posible uso para la entrega de spyware encubierto, no para ataques masivos.

4. Productos afectados y versiones parcheadas

iOS / iPadOS: iOS 18.6.2, iPadOS 18.6.2 y iPadOS 17.7.10.
macOS: macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 y macOS Ventura 13.7.8.

Los dispositivos afectados incluyen desde iPhone XS en adelante, diversas generaciones de iPad (Pro, Air, mini), y Macs con las versiones de macOS mencionadas.

5. Mitigación y recomendaciones

• Actualizar inmediatamente los dispositivos a las versiones corregidas más recientes. Es la medida más urgente y efectiva.
• Considerar reforzar controles en los sistemas de gestión centralizada (MDM) y monitorización de comportamiento inusual post-actualización.
• Dado que la explotación apunta a vectores aparentemente inofensivos (imágenes), recalcar a la comunidad la importancia de conciencia sobre vectores poco evidentes y la necesidad de seguridades a múltiples niveles.

6. Historial de los últimos zero-days de Apple en 2025

• Febrero - Marzo 2025: CVE-2025-31200 y CVE-2025-31201 en CoreAudio y RPAC. Fueron explotados en ataques dirigidos sofisticados. Uno afectaba CoreAudio y el otro permitía bypass de Pointer Authentication (PAC).
• Marzo 2025: CVE-2025-24201 en WebKit (Safari). Zero-day explotado en la naturaleza. Apple publicó un parche de emergencia rápidamente.
• Abril - Mayo 2025: CVE-2025-24200 en USB Restricted Mode. Permitía bypass de la protección USB y fue explotado en ataques dirigidos.
• Abril - Mayo 2025: CVE-2025-24252 y CVE-2025-24271 en AirPlay. Vulnerabilidades de tipo zero-click RCE, con posibilidad de ejecución remota sin interacción del usuario y con carácter “wormable”.
• Junio 2025: CVE-2025-43200 en Mensajes. Zero-day explotado en ataques de tipo zero-click para instalar spyware Graphite, afectando a periodistas y objetivos específicos.
• Julio 2025: CVE-2025-6558 en WebKit / ANGLE (navegador). Zero-day explotado en Chrome, parcheado en iOS 18.6 y agregado al catálogo de vulnerabilidades explotadas de CISA.
• Agosto 2025: CVE-2025-43300 en ImageIO (procesamiento de imágenes). Vulnerabilidad de tipo out-of-bounds write al procesar imágenes maliciosas, explotada en ataques dirigidos.

7. Contexto general y reflexión

Este incidente subraya cómo incluso componentes aparentemente benignos como el procesamiento de imágenes pueden convertirse en vectores críticos de ataque. Es el séptimo zero-day explotado en el año 2025 que Apple corrige.

La rapidez al lanzar parches muestra un compromiso fuerte, pero la recurrencia de estos incidentes plantea preguntas sobre la detección precoz de fallos en etapas de desarrollo. Ampliar prácticas de revisión de código, fuzzing y auditoría externa sigue siendo esencial.

FUENTES:

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-new-actively-exploited-zero-day/ https://support.apple.com/en-us/124925 https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html