Apple Patches 2 Explotado iOS cero días en Coreaudio y RPAC

Published by All Things Windows on

Apple ha implementado parches de seguridad de emergencia el miércoles en sus sistemas operativos, preparando para arreglar un par de vulnerabilidades de días cero confirmados para estar bajo una expotencia activa. La compañía reconoció que las fallas, que afectan el procesamiento de audio central y una característica de seguridad de procesador específica, se armaron en campañas específicas.

En su asesoramiento, Apple anotado Era consciente de los informes que”este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS”. The critical updates target not just iOS and iPadOS, but also macOS, tvOS, and visionOS, signaling the widespread nature of the underlying issues.

Audio Flaw Allows Code Execution

One vulnerability, identified as  CVE-2025-31200 , crea un riesgo grave a través del marco CoreAudio de Apple. Este defecto de corrupción de memoria significa que los atacantes podrían ejecutar un código arbitrario en un dispositivo si un usuario simplemente procesa un archivo de audio malicioso cuidadosamente elaborado. Este tipo de exploit podría conducir a un robo de datos o un compromiso más amplio del sistema.

Reflecting the potential severity, CISA-ADP assigned the flaw a CVSS 3.1 score of 7.5 (High), citing high potential impacts on confidentiality, integrity, and availability, although its Vector requiere interacción del usuario y tiene una alta complejidad. Apple declaró que esta vulnerabilidad se abordó a través de la”verificación mejorada de límites”y acreditó su descubrimiento tanto a los equipos internos como al grupo de análisis de amenazas de Google (TAG).

Función de seguridad del procesador omitido

El segundo problema, CVE-2025-31201 , se dirige al núcleo de arquitectura de procesamiento reconfigurable (RPAC) que se encuentra en los chips de silicio de Apple más nuevos. Esta vulnerabilidad permitió a los atacantes que ya habían obtenido acceso de lectura/escritura en un dispositivo para dejar el lado de la autenticación del puntero (PAC).

PAC es una característica de seguridad de hardware una característica a una característica a una característica una característica de hardware una característica a una característica a una característica de hardinada una característica a una característica de hardware una característica a una característica a una característica de hardware una característica a una característica una característica de hardware. href=”https://learn.arm.com/learning-paths/servers-andcloud-computing/pac/pac/”target=”_ en blanco”> en las arquitecturas de brazo Diseñado para firmar criptografía en punteros, lo que hace que sea más difícil para los atacantes el flujo de control de programas a través de técnicas como programación orientada a retorno (ROP) . Evitar con éxito PAC podría permitir ataques del sistema más profundos, como la escalada de privilegios. Apple, que descubrió este defecto internamente, declaró que se solucionó al”eliminar el código vulnerable”.

Las actualizaciones de los iPhones, iPads, Macs, Apple TV y Vision Pro

Aunque los ataques activos se informaron contra los dispositivos IOS, los parches confirman un impacto lento. The fixes are included in iOS 18.4.1, iPadOS 18.4.1macOS Sequoia 15.4.1 , tvos 18.4.1 , y VISONSOS”.

El hardware que recibe las actualizaciones incluye iPhone XS y modelos más nuevos; Varios Pros de iPad (11 pulgadas de 1 ° Gen+, 12.9 pulgadas 3rd Gen+, 13 pulgadas), Airs de iPad (3ra Gen+), iPads estándar (7th Gen+) e iPad Minis (5th Gen+); Junto con Apple TV HD, todos los modelos Apple TV 4K y Apple Vision Pro. Dada la confirmación de la explotación activa, se aconseja a los usuarios que apliquen estas actualizaciones rápidamente.

Montaje de días cero en medio de crecientes amenazas de Apple

Estos dos defectos marcan el cuarto y quinto día cero vulnerabilidad href=”https://www.csoonline.com/article/642935/apple-patches-exploits-in-in-spy-campaign-operation-triangulation.html”target=”_ blank”> fallas utilizadas en el Operación de la campaña de espionaje de triangulación ) en los primeros meses del año.

Los días cero de 2025 previamente parcheados fueron CVE-2025-24085 (enero), CVE-2025-24200 (febrero) y CVE-2025-24201 (marzo) . Este aumento se produce cuando los investigadores de seguridad e informes, como uno en marzo con respecto a las campañas de phishing dirigidas a los usuarios de Mac, sugieren un mayor interés de los atacantes en el ecosistema de Apple, desafiando su reputación pasada como un objetivo menos frecuente que Windows. Si bien los ataques actuales se describieron como altamente dirigidos, la disponibilidad de parches requiere acción de todos los usuarios con dispositivos afectados.

.

Categories: IT Info

Related Posts

IT Info

Synology listo para ampliar las restricciones del disco duro a 2025 más modelos NAS

Los usuarios de las nuevas unidades de Synology 2025 Plus NAS pueden enfrentar características discapacitadas como informes de salud y dedupe si utilizan discos duros certificados por no sincronología. La postynology que se amplía para ampliar duro

IT Info

ARXIV está intercambiando servidores de la Universidad de Cornell por Google Cloud in Modernization Push

Enfrentando un aumento de la tecnología de uso y envejecimiento, el servidor ARXIV preimpresión ha comenzado su transición a Google Cloud, reemplazando el código heredado y los servicios de contenedores. La publicación arxiv es swappi

IT Info

DHL hace una pausa de los envíos B2C de alto valor en medio de los cambios de reglas aduaneras

El gigante de logística DHL ha anunciado una suspensión temporal de envíos B2C con unidos a los EE. UU. Valorados más de $ 800, citando retrasos aduaneros de nuevas regulaciones. El post DHL detiene el barco B2C de alto valor