Acerca del contenido de seguridad de iOS 18.7.2 y iPadOS 18.7.2

En este documento, se describe el contenido de seguridad de iOS 18.7.2 y iPadOS 18.7.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

iOS 18.7.2 y iPadOS 18.7.2

Publicado el 5 de noviembre de 2025

Accessibility

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de tercera generación de 12,9 pulgadas y modelos posteriores, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de séptima generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Una app podía identificar qué otras apps había instalado un usuario.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43442: Zhongcheng Li de IES Red Team de ByteDance

App Store

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43444: Zhongcheng Li de IES Red Team de ByteDance

Audio

Impacto: Es posible que un atacante con acceso físico a un dispositivo desbloqueado enlazado con una Mac pueda ver información confidencial de un usuario en los registros del sistema

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impacto: Una app podía obtener información sobre la vista actual de la cámara antes de que se le otorgara acceso a la cámara.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43450: Dennis Briner

CloudKit

Impacto: Una app podía salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreText

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2025-43445: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

Find My

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Para solucionar un problema de privacidad, se trasladaron datos confidenciales.

CVE-2025-43507: iisBuri

Installer

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43444: Zhongcheng Li de IES Red Team de ByteDance

Kernel

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Mail

Impacto: Se podía cargar contenido remoto aunque estuviera desactivada la opción 'Cargar imágenes'.

Descripción: Para solucionar el problema se agregó lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

MetricKit

Impacto: Un proceso sin privilegios podía terminar procesos raíz.

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.

CVE-2025-43365: Minghao Lin (@Y1nKoc), Lyutoon (@Lyutoon_) y YingQi Shi (@Mas0n)

Model I/O

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2025-43386: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

Model I/O

Impacto: Es posible que una app pueda provocar una denegación de servicio

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Un problema de privacidad se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.

CVE-2025-43439: Zhongcheng Li de IES Red Team de ByteDance

Safari

Impacto: visitar un sitio web creado con fines malintencionados podía provocar la suplantación de la barra de direcciones

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2025-43493: @RenwaX23

Safari

Impacto: Es posible que la visita a un sitio web creado con fines malintencionados pueda provocar la suplantación de la interfaz de usuario

Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.

CVE-2025-43503: @RenwaX23

Shortcuts

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2025-43499: Un investigador anónimo

Siri

Impacto: Un dispositivo podía no bloquearse y presentar este error de manera constante.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2025-43454: Joshua Thomas

Siri

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

Spotlight

Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se restringieron las opciones que se ofrecían en un dispositivo bloqueado.

CVE-2025-43418: Dalibor Milanovic

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri en colaboración con el programa Zero Day Initiative de Trend Micro

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró la administración del estado.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit

Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen de Google

WebKit

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

WebKit Bugzilla: 299843

CVE-2025-43443: Un investigador anónimo

WebKit

Impacto: Es posible que una app controle las pulsaciones de teclas sin permiso del usuario

Descripción: Para solucionar este problema, se mejoró la comprobación.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit Canvas

Impacto: Es posible que un sitio web pueda exfiltrar orígenes cruzados de datos de imágenes

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Otros agradecimientos

Mail

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

Shortcuts

Nos gustaría darle las gracias a Andrew James Gonzalez por su ayuda.

WebKit

Nos gustaría darles las gracias a Enis Maholli (enismaholli.com) y a Google Big Sleep por su ayuda.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: noviembre 10, 2025