CVE-2025-43300: Zero-Day crítico en Apple ImageIO
Admin
August 22, 2025
Translate to:
Gravedad: Crítica (Explotación activa)
Tipo: Out-of-bounds write en ImageIO, corrupción de memoria, ejecución de código
Fecha de divulgación: 20 de agosto de 2025
Estado: Explotado activamente en ataques sofisticados contra individuos seleccionados; parche disponible
Versiones afectadas: iOS (18.6.2 y anteriores), iPadOS (18.6.2, 17.7.10 y anteriores), macOS (Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8 y anteriores)
Componente afectado: ImageIO framework (procesamiento de formatos de imagen)
Tipo: Out-of-bounds write en ImageIO, corrupción de memoria, ejecución de código
Fecha de divulgación: 20 de agosto de 2025
Estado: Explotado activamente en ataques sofisticados contra individuos seleccionados; parche disponible
Versiones afectadas: iOS (18.6.2 y anteriores), iPadOS (18.6.2, 17.7.10 y anteriores), macOS (Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8 y anteriores)
Componente afectado: ImageIO framework (procesamiento de formatos de imagen)
Descripción técnica
CVE-2025-43300 es una vulnerabilidad de tipo out-of-bounds write (escritura fuera de límites de memoria) en el framework ImageIO de Apple. Este componente se encarga de que el sistema y las aplicaciones lean y escriban gran variedad de formatos de imágenes. El error permite a un atacante provocar corrupción de memoria al procesar una imagen especialmente manipulada, logrando potencialmente ejecución arbitraria de código en el dispositivo vulnerado.
Explotación y actores implicados
- Apple confirmó explotación activa en ataques “zero-click” altamente sofisticados, contra individuos de alto perfil (periodistas, diplomáticos, activistas, ejecutivos).
- Los ataques requieren únicamente que la víctima reciba una imagen maliciosa (por iMessage, correo, app, o navegador); no es necesario interactuar con el archivo.
- Entre los grupos vinculados están APT-X1 y Cozy Bear/APT29, con campañas orientadas al espionaje estatal y corporativo.
- El exploit puede utilizarse para evasión de sandbox, ejecución en kernel y persistencia en el sistema, y para robo de datos sensibles (fotos, mensajes, emails, archivos).
Impacto
- Compromiso total del sistema (privilegios kernel y bypass de code-signing)
- Acceso a información personal y corporativa (fotos, correos, documentos)
- Posible espionaje, exfiltración de datos y persistencia en sistemas empresariales y personales
- Riesgo elevado para infraestructuras críticas y usuarios de alto riesgo
Detección y mitigación
- Actualizar inmediatamente todos los dispositivos afectados al último parche de Apple (iOS/iPadOS/macOS)
- Habilitar Lockdown Mode en iOS/iPadOS/macOS para usuarios de alto riesgo (activistas, periodistas, altos ejecutivos)
- Evitar abrir imágenes de fuentes dudosas y activar las actualizaciones automáticas
- Para empresas con BYOD, reforzar políticas de MDM (Mobile Device Management), control de acceso y monitorización avanzada de endpoints
- Monitorizar kernel logs, tráfico y artefactos en busca de IOCs (hashes, C2, modificaciones en binarios)
Resumen técnico
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-43300 |
| Tipo | Out-of-bounds write, corrupción de memoria |
| Componente | Apple ImageIO framework |
| Vector | Procesamiento de archivos de imagen maliciosos (zero-click) |
| Impacto | Ejecución de código arbitrario, acceso y robo de información, persistencia |
| Gravedad | Crítica, explotado activamente |
| Versiones afectadas | iOS/iPadOS/macOS anteriores a los parches de agosto 2025 |
| Parche disponible | Sí, publicado el 20 de agosto de 2025 |
| Mitigación | Actualizar, activar Lockdown Mode, monitoreo avanzado |
Recomendación urgente:
Actualiza todos tus dispositivos Apple (iPhone, iPad, Mac) a la versión más reciente. Habilita Lockdown Mode si eres usuario de alto perfil o riesgo, y refuerza las políticas de administración y monitoreo en tu organización para detectar posibles ataques dirigidos y persistencia asociada con este zero-day.
Actualiza todos tus dispositivos Apple (iPhone, iPad, Mac) a la versión más reciente. Habilita Lockdown Mode si eres usuario de alto perfil o riesgo, y refuerza las políticas de administración y monitoreo en tu organización para detectar posibles ataques dirigidos y persistencia asociada con este zero-day.
Comments (0)
No comments yet. Be the first to comment!