Acerca del contenido de seguridad de iOS 18.3 y iPadOS 18.3

En este documento se describe el contenido de seguridad de iOS 18.3 y iPadOS 18.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 18.3 y iPadOS 18.3

Disponible el 27 de enero de 2025

Accessibility

Disponible para: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (7.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: un atacante con acceso físico a un dispositivo desbloqueado puede acceder a Fotos mientras la app está bloqueada.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India

AirPlay

Impacto: un atacante en la red local podría provocar la interrupción inesperada del sistema o estropear la memoria de procesos.

Descripción: se ha solucionado un problema de validación de entrada.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Impacto: un atacante remoto podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Impacto: un atacante en una posición privilegiada podría llevar a cabo una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Impacto: un atacante remoto podría hacer que se cerrara de forma inesperada una aplicación o se ejecutara código arbitrario.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu y Xingwei Lin de la Universidad de Zhejiang

CoreAudio

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24160: Grupo de análisis de amenazas de Google

CVE-2025-24161: Grupo de análisis de amenazas de Google

CVE-2025-24163: Grupo de análisis de amenazas de Google

CoreMedia

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24123: Desmond trabajando con Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) trabajando con Trend Micro Zero Day Initiative

CoreMedia

Impacto: una aplicación maliciosa podría elevar los privilegios. Apple conoce la existencia de un informe en el que se indica que este problema se podría haber explotado de forma activa contra versiones de iOS anteriores a iOS 17.2.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-24085

ImageIO

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24086: DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat, y D4m0n

Kernel

Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24107: un investigador anónimo

Kernel

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Impacto: una app podría utilizar la huella digital del usuario

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Managed Configuration

Impacto: restaurar un archivo de copia de seguridad creado con fines malintencionados podría provocar la modificación de archivos protegidos del sistema.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra

Llaves de acceso

Impacto: una aplicación podría obtener acceso no autorizado a Bluetooth.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.

CVE-2024-9956: mastersplinter

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2025-24128: @RenwaX23

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado el problema mediante la mejora de la interfaz de usuario.

CVE-2025-24113: @RenwaX23

SceneKit

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-24149: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Zona horaria

Impacto: una app podría ver el número de teléfono de un contacto en los registros del sistema

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2025-24145: Kirin (@Pwnrin)

WebContentFilter

Impacto: un atacante podría provocar la interrupción inersperada del sistema o estropear la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2025-24154: un investigador anónimo

WebKit

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso al sistema de archivos.

WebKit Bugzilla: 283117

CVE-2025-24143: un investigador anónimo

WebKit

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) de NUS CuriOSity y P1umer (@p1umer) de Imperial Global Singapore.

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy de HKUS3Lab y chluo de WHUSecLab

WebKit Web Inspector

Impacto: al copiar una URL del Inspector Web podría producirse una inyección de comandos.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

Audio

Queremos dar las gracias al Grupo de análisis de amenazas de Google por su ayuda.

CoreAudio

Queremos dar las gracias al Grupo de análisis de amenazas de Google por su ayuda.

CoreMedia Playback

Queremos dar las gracias a Song Hyun Bae (@bshyuunn) y Lee Dong Ha (Who4mI) por su ayuda.

Archivos

Queremos dar las gracias a Chi Yuan Chang de ZUSO ART y taikosoup por su ayuda.

Notificaciones

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal India, Xingjian Zhao (@singularity-s0) por su ayuda.

Passwords

Queremos dar las gracias a Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co por su ayuda.

Teléfono

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India y a un investigador anónimo por su ayuda.

Capturas de pantalla

Queremos dar las gracias a Yannik Bloscheck (yannikbloscheck.com) por su ayuda.

Sueño

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

Static Linker

Queremos dar las gracias a Holger Fuhrmannek por su ayuda.

VoiceOver

Queremos dar las gracias a Bistrit Dahal, Dalibor Milanovic por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 06 de febrero de 2025

Comprar

Enlaces rápidos

Tiendas especiales

Explorar el Mac

Comprar un Mac

Más del Mac

Explorar el iPad

Comprar un iPad

Más del iPad

Explorar el iPhone

Comprar un iPhone

Más del iPhone

Explorar el Apple Watch

Comprar un Apple Watch

Más del Apple Watch

Explorar los AirPods

Comprar unos AirPods

Más de los AirPods

Explorar TV y Casa

Comprar TV y Casa

Más de TV y Casa

Explorar entretenimiento

Soporte

Comprar accesorios

Explorar accesorios

Explorar Soporte

Obtener ayuda

Temas de interés

Enlaces rápidos

Acerca del contenido de seguridad de iOS 18.3 y iPadOS 18.3

Acerca de las actualizaciones de seguridad de Apple

iOS 18.3 y iPadOS 18.3

Accessibility

AirPlay

AirPlay

AirPlay

AirPlay

AirPlay

ARKit

CoreAudio

CoreMedia

CoreMedia

ImageIO

Kernel

Kernel

LaunchServices

Managed Configuration

Llaves de acceso

Safari

Safari

SceneKit

Zona horaria

WebContentFilter

WebKit

WebKit

WebKit

WebKit Web Inspector

Otros agradecimientos

Accessibility

Audio

CoreAudio

CoreMedia Playback

Archivos

Notificaciones

Passwords

Teléfono

Capturas de pantalla

Sueño

Static Linker

VoiceOver