Apple ha emitido actualizaciones de seguridad de emergencia en todo su ecosistema para abordar CVE-2025-43300, una vulnerabilidad crítica de día cero en el marco ImageIO que ha sido explotado activamente en ataques seleccionados sofisticados.
Esto representa la séptima vulnerabilidad del día cero que Apple ha parchado en 2025, subrayando el panorama de amenazas persistente y creciente que enfrenta dispositivos iOS y MacOS.
La adición de la vulnerabilidad al catálogo de vulnerabilidades explotadas (KEV) conocidas de CISA con una fecha límite de remediación del 11 de septiembre de 2025, enfatiza el riesgo operativo urgente que representa para organizaciones y usuarios individuales por igual.
Mecánica de explotación de vulnerabilidad
CVE-2025-43300 es una vulnerabilidad de escritura fuera de los límites que afecta el marco ImageIO de Apple, específicamente dirigido a la lógica de decodificación sin pérdida de JPEG para archivos Adobe DNG (Digital Negated).
La vulnerabilidad proviene de una inconsistencia crítica entre las declaraciones de metadatos en los subdirectorios TIFF y el recuento de componentes reales en los marcadores JPEG SOF3 (inicio del marco 3).
El mecanismo de exploit consiste en manipular solo dos bytes en un archivo DNG legítimo para crear un malhumoramiento de metadatos peligrosos.
Los investigadores de seguridad han demostrado que al modificar el valor de las muestrasperpíxel de 1 a 2 en el subifd de TIFF en el desplazamiento 0x2FD00, al tiempo que cambia simultáneamente el recuento de componentes SOF3 de 2 a 1 al desplazamiento 0x3e40b, los atacantes pueden desencadenar la corrupción de la memoria durante el procesamiento de imágenes.
Cuando el decodificador DNG de Apple procesa este archivo malformado, asigna la memoria en función de los metadatos de muestrasperpíxel (esperando 2 componentes) pero procesa datos de acuerdo con el recuento de componentes SOF3 (solo 1 componente), lo que resulta en un desbordamiento del búfer de montaje que permite la ejecución del código arbitrario.
Este La explotación de clic cero se produce automáticamente cuando el dispositivo procesa la imagen maliciosa a través de iMessage, archivos adjuntos de correo electrónico, transferencias de airdrop o contenido web.
Atacar sofisticación e implementación
La caracterización de los ataques de Apple como “extremadamente sofisticados”, dirigido a “individuos específicos”, indica la participación de actores de amenaza avanzada con capacidades técnicas significativas.
La explotación de la vulnerabilidad requiere una comprensión profunda de las especificaciones de formato de archivo ImageIO y del archivo DNG, lo que sugiere que los atacantes poseen una amplia experiencia y recursos de ingeniería inversa.
El código de prueba de concepto publicado por el investigador de seguridad B1N4R1B01 demuestra la reproducibilidad del exploit, que muestra cómo se manifiesta la corrupción de memoria dentro del componente RawCamera.Bundle de Apple.
Se han desarrollado herramientas de detección como Elegant Bouncer para identificar intentos de explotación al validar la consistencia entre los metadatos de TIFF y los parámetros de la corriente JPEG.
IOS Comparación de ataque de clic cero.
Contexto histórico de vulnerabilidades de iOS
A diferencia de las exploits anteriores de iOS cero-clic con una clara atribución de spyware comercial, CVE-2025-43300 presenta desafíos de atribución significativos.
Apple no ha proporcionado detalles específicos sobre los grupos de ataque o las víctimas dirigidas, lo que limita la comprensión pública de la identidad y las motivaciones de los actores de amenaza.
Esto contrasta bruscamente con campañas bien documentadas como BlastPass y ForcedEntry, que se han vinculado definitivamente a las operaciones de spyware de Pegasus de NSO Group.
La naturaleza sofisticada del ataque, combinada con su implementación altamente específica, sugiere la participación de actores de estado-nación o desarrolladores de spyware comerciales avanzados.
Sin embargo, la ausencia de evidencia de atribución concreta complica la evaluación del panorama de amenazas y la planificación defensiva para los profesionales de la seguridad.
La progresión histórica de Los ataques con clic cero de iOS revelan una carrera armamentista creciente entre las mejoras de seguridad de Apple y las capacidades adversas.
La Operación Triangulación (2019-2023) demostró una complejidad técnica sin precedentes al explotar las características de hardware indocumentadas en los procesadores A12-A16 de Apple, que requieren un conocimiento íntimo de la arquitectura de chips que “muy pocos, si es que hay alguna, fuera de los proveedores de Apple y Chip”.
La exploit de ForcedEntry de NSO Group mostró una innovación notable mediante el uso de operaciones de mapa de bits JBIG2 para construir una “computadora virtual” dentro de la memoria de iOS, creando puertas lógicas y circuitos computacionales para evitar las protecciones de Blastdoor de Apple.
Esta técnica, descrita por Google Project Zero como “una de las hazañas más sofisticadas técnicamente que hemos visto”, elevó las capacidades comerciales de spyware para rivalizar con operaciones de estado-nación.
BlastPass demostró aún más la evolución de los ataques con clic cero al explotar las vulnerabilidades de la imagen WebP a través de los accesorios de passlietos, eludiendo las mejoras de seguridad de Apple mientras mantiene el requisito de interacción cero crítico para las operaciones de vigilancia.
Spyware comercial y conexiones de estado-nación-estado
El modelo de negocio de la compañía israelí requiere la aprobación del gobierno para todas las exportaciones, ya que Pegasus se clasifica como arma bajo la ley israelí. Este marco regulatorio crea un mercado controlado donde NSO proporciona selectivamente capacidades de vigilancia avanzada a los clientes gubernamentales autorizados.
Los desarrollos legales recientes han impactado significativamente las operaciones de la NSO, con un tribunal federal de los Estados Unidos que encuentra a la compañía responsable de violar la Ley de Fraude y Abuso de la Computación en la demanda de WhatsApp.
Este fallo representa la primera vez que cualquier compañía de spyware comercial ha sido responsable en los tribunales de los Estados Unidos, lo que potencialmente establece un precedente para futuros litigios contra proveedores de tecnología de vigilancia.
La plataforma Pegasus del Grupo de NSO ha evolucionado desde requerir la interacción del usuario (exploits basadas en clics) en 2016 a capacidades sofisticadas de clic cero para 2020.
Las características técnicas del spyware incluyen compromiso integral del dispositivo, que permite la recopilación de mensajes, llamadas, fotos, datos de ubicación y acceso a micrófono/cámara en tiempo real.
Los patrones de orientación en las campañas de Pegasus revelan un enfoque constante en individuos de alto valor, incluidos periodistas, activistas de derechos humanos, disidentes políticos y funcionarios del gobierno.
Esta metodología de orientación se alinea con CVE-2025-43300 Uso informado contra “individuos específicos específicos”, lo que sugiere prioridades operativas similares entre los actores de amenaza avanzada.
Recomendaciones de seguridad
Las organizaciones e individuos deben priorizar los parches inmediatos en todos Dispositivos de Apple a iOS 18.6.2, iPados 18.6.2 y las versiones de MacOS correspondientes.
La explotación activa confirmada de la vulnerabilidad eleva la urgencia más allá de los plazos de gestión de parches estándar, particularmente para los usuarios de alto riesgo en el periodismo, el activismo y los sectores gubernamentales.
El modo de bloqueo de Apple proporciona protección adicional contra ataques sofisticados de clic cero, aunque restringe significativamente la funcionalidad del dispositivo. Para los usuarios que enfrentan niveles elevados de amenazas, lo que permite esta característica ofrece una seguridad mejorada a costa de la experiencia del usuario.
La amenaza persistente del spyware comercial y los actores de estado-nación-estado requiere estrategias de defensa adaptativa que se extiendan más allá de la gestión tradicional de vulnerabilidad.
Las organizaciones deben implementar un monitoreo mejorado para las anomalías del procesamiento de imágenes, implementar soluciones de detección y respuesta de punto final avanzado (EDR) y mantener la actualidad Feeds de inteligencia de amenazas centradas en la explotación de dispositivos móviles.
La caza de amenazas proactivas se vuelve esencial dadas las características sigilosas de los ataques con clic cero, lo que requiere que los equipos de seguridad analicen los patrones de comportamiento del dispositivo, las comunicaciones de red e indicadores de integridad del sistema que pueden revelar el compromiso antes de que las herramientas de seguridad tradicionales detecten la actividad maliciosa.
CVE-2025-43300 ejemplifica la evolución continua de las amenazas de dispositivos móviles, donde los adversarios sofisticados aprovechan las vulnerabilidades técnicas complejas para lograr capacidades de vigilancia persistentes.
La sofisticación técnica de la vulnerabilidad, combinada con su integración en el panorama más amplio del spyware comercial y las operaciones cibernéticas de estado-nación, subraya la importancia crítica de estrategias de seguridad móvil integrales que abordan tanto las vulnerabilidades técnicas como los modelos de amenazas operativas.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
