Apple publicou unha actualización de seguridade crítica para iOS 26.1 e iPadOS 26.1 que corrixe numerosas vulnerabilidades detectadas en compoñentes esenciais do sistema operativo. Algunhas destas debilidades afectan ao kernel, WebKit, á xestión de memoria, á privacidade e aos mecanismos de illamento (sandbox), podendo ser explotadas por aplicacións ou contidos maliciosos.
Impacto das vulnerabilidades
Segundo a información oficial do fabricante, a explotación destas vulnerabilidades podería permitir:
- Corrupción de memoria e erros nas comprobacións de límites.
- Escalada de privilexios desde aplicacións.
- Escape do sandbox das aplicacións.
- Acceso non autorizado a información do usuario.
- Execución de código arbitrario.
- Inestabilidade do sistema e denegación de servizo.
Este tipo de fallos resulta especialmente crítico en contornas móbiles, xa que compromete o modelo de seguridade baseado no illamento entre aplicacións e o núcleo do sistema operativo.
Vulnerabilidades destacadas (CVE)
A continuación detállanse algúns dos CVE máis relevantes corrixidos en iOS 26.1 / iPadOS 26.1, de acordo coas notas oficiais de seguridade de Apple:
CVE-2025-43442 – Exposición de información sobre aplicacións instaladas
- Compoñente afectado: Privacidade / permisos
- Descrición: Unha aplicación podía identificar que outras apps estaban instaladas no dispositivo sen autorización.
- Impacto: Risco de perda de privacidade e de ataques dirixidos baseados no perfil do usuario.
CVE-2025-43455 – Captura de pantalla non autorizada
- Compoñente afectado: Xestión de pantalla
- Descrición: Unha aplicación maliciosa podía realizar capturas de pantalla sen o consentimento do usuario.
- Impacto: Posible exposición de información sensible visible na pantalla (mensaxes, credenciais ou datos persoais).
CVE-2025-43447 e CVE-2025-43462 – Vulnerabilidades no kernel
- Compoñente afectado: Kernel
- Descrición: Fallos de corrupción de memoria e validación insuficiente.
- Impacto: Pos reminder escalada de privilexios, execución de código con permisos elevados ou inestabilidade do sistema.
CVE-2025-43434 – WebKit (motor de navegación)
- Compoñente afectado: WebKit
- Descrición: Procesamento incorrecto de contido web malicioso.
- Impacto: Posible execución de código arbitrario ao visitar páxinas web especialmente deseñadas mediante Safari ou outras aplicacións que empregan WebKit.
CVE-2025-43510 – Corrupción de memoria compartida
- Compoñente afectado: Xestión de memoria
- Descrición: Fallo no manexo da memoria compartida entre procesos.
- Impacto: Un proceso malicioso podería influír no comportamento doutros procesos do sistema.
Vulnerabilidades con indicios de explotación activa
Apple e fontes especializadas sinalan que algunhas vulnerabilidades de WebKit foron explotadas en ataques dirixidos antes da publicación do parche:
- CVE-2025-14174 – Corrupción de memoria ao procesar contido web.
- CVE-2025-43529 – Vulnerabilidade do tipo use-after-free en WebKit con potencial execución remota de código.
Estes feitos reforzan a urxencia de aplicar a actualización canto antes.
Dispositivos afectados
- iPhone 11 e modelos posteriores
- Diversos modelos de iPad Pro, iPad Air e iPad
Apple recomenda consultar a listaxe completa de dispositivos compatibles nas súas notas oficiais.
Recomendacións
Para persoas usuarias
- Actualizar inmediatamente a iOS 26.1 / iPadOS 26.1 desde Axustes → Xeral → Actualización de software.
Para organizacións e administracións públicas - Verificar o despregamento da actualización mediante solucións MDM.
- Revisar as políticas de seguridade móbil.
- Monitorizar comportamentos anómalos tras a actualización.
- Avaliar o risco derivado de dispositivos non actualizados.
Ligazóns oficiais de Apple
- Contido de seguridade de iOS 26.1 e iPadOS 26.1
https://support.apple.com/125632 - Historial de actualizacións de seguridade de Apple
https://support.apple.com/100100
