Acerca del contenido de seguridad de iOS 26 y iPadOS 26

En este documento se describe el contenido de seguridad de iOS 26 y iPadOS 26.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 26 y iPadOS 26

Publicado el 15 de septiembre de 2025

Apple Neural Engine

Disponible para: iPhone 11 y modelos posteriores, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (8.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43344: un investigador anónimo

AppleMobileFileIntegrity

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43346: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Impacto: una app creada con intenciones maliciosas podría leer la memoria de kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Entrada añadida el 3 de noviembre de 2025

Authentication Services

Impacto: los campos de contraseña podrían revelarse por error.

Descripción: se ha solucionado el problema mediante la mejora de la interfaz de usuario.

CVE-2025-43360: Nikita Sakalouski

Entrada añadida el 3 de noviembre de 2025

Bluetooth

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-43354: Csaba Fitzl (@theevilbit) de Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) de Kandji

Call History

Impacto: una app podría utilizar la huella digital del usuario

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2025-43357: Rosyna Keller de Totally Not Malicious Software, Guilherme Rambo de Best Buddy Apps (rambo.codes)

CloudKit

Impacto: una app podría utilizar la huella digital del usuario

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-43323: Yinyi Wu (@_3ndy1) de Dawn Security Lab de JD.com, Inc

Entrada añadida el 3 de noviembre de 2025

CoreAudio

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2025-43349: @zlluny en colaboración con Trend Micro Zero Day Initiative

CoreMedia

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2025-43372: 이동하 (Lee Dong Ha) de SSA Lab

ImageIO

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43338: 이동하 (Lee Dong Ha) de SSA Lab

Entrada añadida el 3 de noviembre de 2025

IOHIDFamily

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji

Kernel

Impacto: un socket de servidor UDP vinculado a una interfaz local puede quedar vinculada a todas las interfaces

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2025-43359: Viktor Oreshkin

Kernel

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

CVE-2025-43345: Mickey Jin (@patch1t)

Entrada añadida el 3 de noviembre de 2025

LaunchServices

Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-43362: Philipp Baldauf

MetricKit

Impacto: un proceso sin privilegios podría cerrar procesos raíz.

Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación de las entradas.

CVE-2025-43365: Minghao Lin (@Y1nKoc) y Lyutoon (@Lyutoon_) y YingQi Shi (@Mas0n)

Entrada añadida el 3 de noviembre de 2025

MobileStorageMounter

Impacto: una app puede provocar una denegación de servicio.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2025-43355: Dawuge de Shuffle Team

Notes

Impacto: un atacante con acceso físico a un dispositivo desbloqueado podría ver una imagen de la nota bloqueada más reciente que se haya visto.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2025-43203: Tom Brzezinski

Notifications

Impacto: un atacante con acceso físico a un dispositivo iOS podría ver el contenido de la notificación desde la pantalla de bloqueo

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-43309: Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India

Entrada añadida el 3 de noviembre de 2025

Safari

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar una redirección de URL inesperada

Descripción: este problema se ha solucionado mejorando la validación de las URL.

CVE-2025-31254: Evan Waelde

Sandbox

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43329: un investigador anónimo

Shortcuts

Impacto: un atajo podría eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de permisos con restricciones de zona protegida adicionales.

CVE-2025-43358: 정답이 아닌 해답

Siri

Impacto: se puede acceder a las pestañas de navegación privada sin autenticación

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30468: Richard Hyunho Im (@richeeta)

Spell Check

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de análisis en la gestión de las rutas de los directorios mejorando la validación de las rutas.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Impacto: el procesamiento de un archivo podría provocar la corrupción de la memoria.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-6965

System

Impacto: se ha resuelto un problema de validación de entradas

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Impacto: un sitio web podría acceder a la información de los sensores sin consentimiento del usuario

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 296490

CVE-2025-43343: un investigador anónimo

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

WebKit Bugzilla: 296042

CVE-2025-43342: un investigador anónimo

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Entrada añadida el 3 de noviembre de 2025

WebKit

Impacto: un atacante remoto podría ver consultas DNS filtradas con el relay privado activado

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell de grepular.com, Bob Lord

Entrada añadida el 3 de noviembre de 2025

WebKit Process Model

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial de REDTEAM.PL en colaboración con Trend Micro Zero Day Initiative, Ignacio Sanmillan (@ulexec)

Entrada actualizada el 3 de noviembre de 2025

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India, Himanshu Bharti @Xpl0itme From Khatima por su ayuda.

Accounts

Queremos dar las gracias a Lehan Dilusha Jayasingha, 要乐奈 por su ayuda.

App Protection

Queremos dar las gracias a Jason Pan, un investigador anónimo, 〇氢匚, 文王 por su ayuda.

Entrada añadida el 3 de noviembre de 2025

AuthKit

Queremos dar las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.

Calendar

Queremos dar las gracias a Keisuke Chinone (Iroiro) por su ayuda.

Camera

Queremos dar las gracias a Descartes, Yusuf Kelany y a un investigador anónimo por su ayuda.

CFNetwork

Queremos dar las gracias a Christian Kohlschütter por su ayuda.

Control Center

Queremos dar las gracias por su ayuda a Damitha Gunawardena.

Core Bluetooth

Queremos dar las gracias a Leon Böttger por su ayuda.

Entrada añadida el 3 de noviembre de 2025

CoreMedia

Queremos dar las gracias a Noah Gregory (wts.dev) por su ayuda.

darwinOS

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Device Recovery

Queremos dar las gracias a un investigador anónimo por su ayuda.

Files

Queremos dar las gracias por su ayuda a Tyler Montgomery.

Foundation

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

iCloud Photo Library

Queremos dar las gracias a Dawuge de Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) y ChengQiang Jin (@白斩鸡) of DBAppSecurity's WeBin Lab por su ayuda.

ImageIO

Queremos dar las gracias a DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat por su ayuda.

IOGPUFamily

Queremos dar las gracias a Wang Yu de Cyberserval por su ayuda.

Kernel

Queremos dar las gracias a Yepeng Pan y al Prof. Dr. Christian Rossow por su ayuda.

libc

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libpthread

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libxml2

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Lockdown Mode

Queremos dar las gracias a Pyrophoria, Ethan Day y kado por su ayuda.

mDNSResponder

Queremos dar las gracias a Barrett Lyon por su ayuda.

MediaRemote

Queremos dar las gracias a Dora Orak por su ayuda.

MobileBackup

Queremos dar las gracias a Dragon Fruit Security (Davis Dai y ORAC落云 & Frank Du) por su ayuda.

Networking

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

Notes

Queremos dar las gracias por su ayuda a Atul R V.

Passwords

Queremos dar las gracias a Christian Kohlschütter por su ayuda.

Phone

Queremos dar las gracias a Dalibor Milanovic por su ayuda.

Safari

Queremos dar las gracias a Ameen Basha M K, Chi Yuan Chang de ZUSO ART y a taikosoup, Dalibor Milanovic, HitmanAlharbi (@HitmanF15), Jake Derouin (jakederouin.com), Jaydev Ahire, Kenneth Chew por su ayuda.

Sandbox Profiles

Queremos dar las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.

Security

Queremos dar las gracias a Jatayu Holznagel (@jholznagel), THANSEER KP por su ayuda.

Setup Assistant

Queremos dar las gracias a Edwin R. por su ayuda.

Siri

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Amandeep Singh Banga, Andrew Goldberg de The McCombs School of Business, The University of Texas en Austin (linkedin.com/andrew-goldberg-/), Dalibor Milanovic, M. Aman Shahid (@amansmughal) por su ayuda.

Siri Suggestions

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India por su ayuda.

Spotlight

Queremos dar las gracias a Christian Scalese, Jake Derouin (jakederouin.com) por su ayuda.

Status Bar

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Dalibor Milanovic, Jonathan Thach por su ayuda.

Transparency

Queremos dar las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y 要乐奈 por su ayuda.

User Management

Queremos dar las gracias a Muhaned Almoghira por su ayuda.

WebKit

Queremos dar las gracias a Matthew Liang, Stanley Lee Linton por su ayuda.

Entrada actualizada el 3 de noviembre de 2025

Wi-Fi

Queremos dar las gracias a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y a un investigador anónimo por su ayuda.

WidgetKit

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

Entrada añadida el 3 de noviembre de 2025

Widgets

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 07 de noviembre de 2025