Acerca del contenido de seguridad de iOS 18.7.2 y iPadOS 18.7.2

En este documento se describe el contenido de seguridad de iOS 18.7.2 y iPadOS 18.7.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 18.7.2 y iPadOS 18.7.2

Disponible el 5 de noviembre de 2025

Accessibility

Disponible para: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (7.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: es posible que una app pueda identificar otras apps que ha instalado un usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43442: Zhongcheng Li de IES Red Team de ByteDance

App Store

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43444: Zhongcheng Li del IES Red Team de ByteDance

Audio

Impacto: un atacante con acceso físico a un dispositivo desbloqueado enlazado con un Mac podría ver información confidencial del usuario en los registros del sistema.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impacto: una aplicación podría obtener información acerca de la vista actual de la cámara antes de que se le conceda acceso a la cámara.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-43450: Dennis Briner

CloudKit

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2025-43445: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Find My

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de privacidad trasladando datos confidenciales.

CVE-2025-43507: iisBuri

Installer

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43444: Zhongcheng Li del IES Red Team de ByteDance

Kernel

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Impacto: podría cargarse contenido remoto aunque el ajuste «Cargar imágenes remotas» esté desactivado.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

MetricKit

Impacto: un proceso sin privilegios podría terminar un proceso raíz

Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación de las entradas.

CVE-2025-43365: Minghao Lin (@Y1nKoc) y Lyutoon (@Lyutoon_) y YingQi Shi (@Mas0n)

Model I/O

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43386: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Model I/O

Impacto: una app puede provocar una denegación de servicio.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-43439: Zhongcheng Li de IES Red Team de ByteDance

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-43493: @RenwaX23

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2025-43503: @RenwaX23

Shortcuts

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-43499: investigador anónimo

Siri

Impacto: un dispositivo puede no bloquearse de forma persistente.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-43454: Joshua Thomas

Siri

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2025-43418: Dalibor Milanovic

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri en colaboración con Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: para resolver este problema se ha mejorado la gestión del estado.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen de Google

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: este problema se ha solucionado mejorando las comprobaciones.

WebKit Bugzilla: 299843

CVE-2025-43443: investigador anónimo

WebKit

Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Impacto: un sitio web podría ocasionar el filtrado de los datos de imagen en orígenes cruzados.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Otros agradecimientos

Mail

Queremos dar las gracias a un investigador anónimo por su ayuda.

Shortcuts

Queremos dar las gracias a Andrew James Gonzalez por su ayuda.

WebKit

Queremos dar las gracias a Enis Maholli (enismaholli.com), Google Big Sleep por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Data de publicació: de novembre 10, 2025