Acerca del contenido de seguridad de iOS 18.7.7 y iPadOS 18.7.7
Acerca del contenido de seguridad de iOS 18.7.7 y iPadOS 18.7.7.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 18.7.7 y iPadOS 18.7.7
Publicado el 24 de marzo de 2026
802.1X
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)
AppleKeyStore
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app puede provocar un cierre inesperado del sistema.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2026-20637: Johnny Franks (zeroxjf), un investigador anónimo
Audio
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2026-28879: Justin Cohen de Google
Clipboard
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2026-28866: Cristian Dinca (icmd.tech)
CoreMedia
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede detener el proceso
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2026-20690: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CoreUtils
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un usuario que se encontrase en una posición de red privilegiada podría causar una denegación de servicio
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.
CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)
Crash Reporter
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.
Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.
CVE-2026-28878: Zhongcheng Li de IES Red Team
curl
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: se producía un error en curl que podía provocar que se enviara información confidencial de forma no intencionada a través de una conexión incorrecta.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.
CVE-2025-14524
DeviceLink
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de análisis en la gestión de las rutas de los directorios mejorando la validación de las rutas.
CVE-2026-28876: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Focus
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.
CVE-2026-20668: Kirin (@Pwnrin)
iCloud
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2026-28880: Zhongcheng Li de IES Red Team
ImageIO
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.
CVE-2025-64505
iTunes Store
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un usuario con acceso físico a un dispositivo iOS podría ser capaz de omitir el bloqueo de activación.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2025-43534: iG0x72 y JJ de XiguaSec, Lehan Dilusha Jayasinghe
Kernel
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.
CVE-2026-28868: 이동하 (Lee Dong Ha de BoB 0xB6)
Kernel
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: el problema se ha solucionado mejorando la autenticación.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2026-20687: Johnny Franks (@zeroxjf)
mDNSResponder
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: el problema se ha solucionado mejorando la autenticación.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Security
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un atacante local podría obtener acceso a los ítems del llavero de un usuario.
Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.
CVE-2026-28864: Alex Radocea
UIFoundation
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: una aplicación podría provocar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.
CVE-2026-28852: Caspian Tarafdar
Vision
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2026-20657: Andrew Becker
WebKit
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría omitir la política de mismo origen.
Descripción: se ha solucionado un problema entre orígenes en la API Navigation mejorando la validación de las entradas.
WebKit Bugzilla: 306050
CVE-2026-20643: Thomas Espach
WebKit
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un atacante remoto podría ver consultas DNS filtradas con el relay privado activado
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell de grepular.com, Bob Lord
WebKit
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: un sitio web con fines malintencionados podía acceder a controladores de mensajes de script creados para otros orígenes.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
WebKit Bugzilla: 307014
CVE-2026-28861: Hongze Wu y Shuaike Dong de Ant Group Infrastructure Security Team
WebKit
Disponible para: iPhone XS, iPhone XS Max, iPhone XR, iPad (7.ª generación)
Impacto: visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
WebKit Bugzilla: 305859
CVE-2026-28871: @hamayanhamayan
Otros agradecimientos
Safari
Nos gustaría dar las gracias a @RenwaX23 por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.