Apple corrige múltiples vulnerabilidades críticas en iOS 26.1 e iPadOS 26.1

ios
Empresas
Ciudadanía
Administración pública
Apple
Vulnerabilidades
Nivel de alerta
Crítico

Apple ha publicado una actualización de seguridad crítica para iOS 26.1 e iPadOS 26.1 que corrige decenas de vulnerabilidades en componentes esenciales del sistema operativo. Algunas de estas debilidades afectan al kernel, WebKit, gestión de memoria, privacidad y mecanismos de aislamiento (sandbox), pudiendo ser explotadas por aplicaciones o contenidos maliciosos.

Impacto de las vulnerabilidades

Según la información oficial del fabricante, la explotación de estas vulnerabilidades podría permitir:

  • Corrupción de memoria y fallos en comprobaciones de límites.
  • Escalada de privilegios desde aplicaciones.
  • Escape del sandbox de aplicaciones.
  • Acceso no autorizado a información del usuario.
  • Ejecución de código arbitrario.
  • Inestabilidad del sistema y denegación de servicio.


Este tipo de fallos es especialmente crítico en sistemas móviles, ya que compromete el modelo de seguridad basado en el aislamiento entre aplicaciones y el núcleo del sistema.

Vulnerabilidades destacadas (CVE)

A continuación se detallan algunos de los CVE más relevantes corregidos en iOS 26.1 / iPadOS 26.1, según las notas oficiales de Apple:

🔹 CVE-2025-43442 – Exposición de información sobre aplicaciones instaladas

  • Componente afectado: Privacidad / permisos
  • Descripción: Una aplicación podía identificar qué otras apps estaban instaladas en el dispositivo sin autorización.
  • Impacto: Riesgo de ataques dirigidos y pérdida de privacidad del usuario.


CVE-2025-43455 – Captura de pantalla no autorizada

  • Componente afectado: Gestión de pantalla
  • Descripción: Una aplicación maliciosa podía realizar capturas de pantalla sin el consentimiento del usuario.
  • Impacto: Posible exposición de información sensible mostrada en pantalla (mensajes, credenciales, datos personales).


 CVE-2025-43447 y CVE-2025-43462 – Vulnerabilidades en el kernel

  • Componente afectado: Kernel
  • Descripción: Fallos de corrupción de memoria y validación insuficiente.
  • Impacto: Posible escalada de privilegios, ejecución de código con permisos elevados o inestabilidad del sistema.


CVE-2025-43434 – WebKit (motor de navegación)

  • Componente afectado: WebKit
  • Descripción: Procesamiento incorrecto de contenido web malicioso.
  • Impacto: Posible ejecución de código arbitrario al visitar páginas web especialmente diseñadas a través de Safari u otras apps que usan WebKit.


CVE-2025-43510 – Corrupción de memoria compartida

  • Componente afectado: Gestión de memoria
  • Descripción: Fallo en el manejo de memoria compartida entre procesos.
  • Impacto: Un proceso malicioso podría influir en otros procesos del sistema.


Vulnerabilidades con indicios de explotación activa

Apple y fuentes especializadas indican que algunas vulnerabilidades de WebKit han sido explotadas en ataques dirigidos antes de la publicación del parche:

  • CVE-2025-14174 – Corrupción de memoria al procesar contenido web.
  • CVE-2025-43529 – Vulnerabilidad use-after-free en WebKit con potencial ejecución remota de código.


Estas vulnerabilidades refuerzan la urgencia de aplicar la actualización.

Dispositivos afectados

  • iPhone 11 y modelos posteriores
  • Diversos modelos de iPad Pro, iPad Air y iPad


Apple recomienda consultar el listado completo de dispositivos compatibles en sus notas oficiales.

Recomendaciones

Para usuarios particulares

  • Actualizar inmediatamente a iOS 26.1 / iPadOS 26.1 desde Ajustes → General → Actualización de software.


Para organizaciones y administraciones públicas

  • Verificar el despliegue de la actualización mediante soluciones MDM.
  • Revisar políticas de seguridad móvil.
  • Monitorizar comportamientos anómalos tras la actualización.
  • Evaluar el riesgo de dispositivos no actualizados.


Enlaces oficiales de Apple