Acerca del contenido de seguridad de iOS 26.1 y iPadOS 26.1

En este documento se describe el contenido de seguridad de iOS 26.1 y iPadOS 26.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 26.1 y iPadOS 26.1

Disponible el 3 de noviembre de 2025

Accessibility

Disponible para: iPhone 11 y modelos posteriores, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (8.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: es posible que una app pueda identificar otras apps que ha instalado un usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43442: Zhongcheng Li de IES Red Team de ByteDance

Apple Account

Impacto: una app maliciosa podría hacer una captura de pantalla de información confidencial en las vistas integradas.

Descripción: se ha solucionado un problema de privacidad mejorando las comprobaciones.

CVE-2025-43455: Ron Masas de BreakPoint.SH, Pinak Oza

Apple Neural Engine

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43447: un investigador anónimo

CVE-2025-43462: un investigador anónimo

Apple TV Remote

Impacto: una app malintencionada podría ser capaz de rastrear a los usuarios entre instalaciones.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2025-43449: Rosyna Keller de Totally Not Malicious Software

AppleMobileFileIntegrity

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las certificaciones.

CVE-2025-43407: JZ

Audio

Impacto: un atacante con acceso físico a un dispositivo desbloqueado enlazado con un Mac podría ver información confidencial de los usuarios en los registros del sistema.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-43423: Duy Trần (@khanhduytran0)

Camera

Impacto: una aplicación podría obtener información acerca de la vista actual de la cámara antes de que se le conceda acceso a la cámara.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-43450: Dennis Briner

CloudKit

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

Contacts

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-43426: Wojciech Regula de SecuRing (wojciechregula.blog)

Control Center

Impacto: un atacante podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43350: Lukaah Marlowe

CoreServices

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43436: Zhongcheng Li de IES Red Team de ByteDance

CoreText

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2025-43445: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

FileProvider

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Impacto: una app podría utilizar la huella digital del usuario.

Descripción: se ha solucionado un problema de privacidad trasladando datos confidenciales.

CVE-2025-43507: iisBuri

Installer

Impacto: una app podría utilizar la huella digital del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43444: Zhongcheng Li de IES Red Team de ByteDance

Kernel

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Impacto: una app en la zona protegida podría ser capaz de observar las conexiones de red de todo el sistema.

Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.

CVE-2025-43413: Dave G. y Alex Radocea de supernetworks.org

Mail Drafts

Impacto: podría cargarse contenido remoto aunque el ajuste «Cargar imágenes remotas» esté desactivado.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

MallocStackLogging

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: existía un problema en la gestión de las variables de entorno. Este problema se ha solucionado mejorando la validación.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43386: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Multi-Touch

Impacto: un dispositivo HID malicioso podría provocar un fallo inesperado del proceso.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2025-43424: Google Threat Analysis Group

Notes

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Impacto: una app podría utilizar la huella digital del usuario.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-43439: Zhongcheng Li de IES Red Team de ByteDance

Photos

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2025-43391: Asaf Cohen

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-43493: @RenwaX23

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2025-43503: @RenwaX23

Safari

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-43502: un investigador anónimo

Sandbox Profiles

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de las preferencias del usuario.

CVE-2025-43500: Stanislav Jelezoglo

Siri

Impacto: un dispositivo puede no bloquearse de forma persistente.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-43454: Joshua Thomas

Status Bar

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-43460: Isaiah Wan

Stolen Device Protection

Disponible para: iPhone 11 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo podría desactivar la protección de dispositivos robados.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2025-43422: Will Caine

Text Input

Impacto: las sugerencias del teclado pueden mostrar información confidencial en la pantalla de bloqueo.

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2025-43452: Thomas Salomon, Sufiyan Gouri (TU Darmstadt), Phil Scott (@MrPeriPeri) & Richard Hyunho Im (@richeeta), Mark Bowers, Joey Hewitt, Dylan Rollins, Arthur Baudoin, un investigador anónimo, Andr.Ess

WebKit

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit Bugzilla: 298628

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

WebKit Bugzilla: 299843

CVE-2025-43443: un investigador anónimo

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 298496

CVE-2025-43441: rheza (@ginggilBesel)

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen de Google

WebKit Bugzilla: 298851

CVE-2025-43425: un investigador anónimo

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: este problema se ha solucionado mejorando las comprobaciones

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri en colaboración con Trend Micro Zero Day Initiative

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 300095

CVE-2025-43495: Lehan Dilusha Jayasinghe

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se han solucionado varios problemas deshabilitando el hundimiento de asignación de arrays.

WebKit Bugzilla: 300718

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Impacto: un sitio web podría ocasionar el filtrado de los datos de imagen en orígenes cruzados.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

App Store

Queremos dar las gracias a Bikesh Parajuli por su ayuda.

FaceTime

Queremos dar las gracias a Un3xploitable por su ayuda.

Mail

Queremos dar las gracias a un investigador anónimo por su ayuda.

MobileInstallation

Queremos dar las gracias a Bubble Zhang por su ayuda.

Photos

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Yusuf Kelany por su ayuda.

Safari

Queremos dar las gracias a Barath Stalin K por su ayuda.

Safari Downloads

Queremos dar las gracias a Saello Puza por su ayuda.

Screenshots

Queremos dar las gracias a un investigador anónimo por su ayuda.

Security

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

Settings

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

Shortcuts

Queremos dar las gracias a BanKai, Benjamin Hornbeck, Chi Yuan Chang de ZUSO ART y taikosoup, Ryan May, Andrew James Gonzalez y un investigador anónimo por su ayuda.

Status Bar

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Dalibor Milanovic por su ayuda.

Synapse

Queremos dar las gracias a Jake Derouin (jakederouin.com) por su ayuda.

UIKit

Queremos dar las gracias a Chi Yuan Chang de ZUSO ART y taikosoup por su ayuda.

WebKit

Queremos dar las gracias a Enis Maholli (enismaholli.com), Google Big Sleep por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 07 de noviembre de 2025