• Gestión de Accesos Privilegiados
    • Ciberseguridad

    Apple corrige vulnerabilidad en Safari también explotada como Zero-Day en Google Chrome

    XPoint
    Publicado el 30/07/2025
    El martes, Apple lanzó actualizaciones de seguridad para todo su portafolio de software, incluyendo una corrección crítica para una vulnerabilidad que, según Google, fue explotada previamente como zero-day en su navegador Chrome a comienzos de este mes.
    La vulnerabilidad, identificada como CVE-2025-6558 con una puntuación de 8.8 en la escala CVSS, se debe a una validación incorrecta de entradas no confiables en los componentes ANGLE y GPU del navegador. Esta falla permite que un atacante escape de la sandbox mediante una página HTML especialmente manipulada.Aunque aún no se han revelado detalles específicos sobre cómo se ha utilizado esta vulnerabilidad, Google confirmó que ya existe un exploit activo. El hallazgo fue reportado por Clément Lecigne y Vlad Stolyarov, del equipo de análisis de amenazas de Google (TAG).En su más reciente ronda de actualizaciones, Apple también corrigió esta misma vulnerabilidad en WebKit, el motor de navegador que impulsa Safari.

    “Se trata de una vulnerabilidad presente en código de fuente abierta, y el software de Apple se encuentra entre los proyectos afectados”, informó la compañía.

    Además, advirtió que la falla podría provocar cierres inesperados al procesar contenido web malicioso.

     

    Versiones actualizadas

     

    iOS 18.6 y iPadOS 18.6: iPhone XS y posteriores, iPad Pro (13”, 12.9” 3ra gen. y posteriores, 11” 1ra gen. y posteriores), iPad Air 3ra gen. y posteriores, iPad 7ma gen. y posteriores, y iPad mini 5ta gen. y posteriores.

    • iPadOS 17.7.9: iPad Pro 12.9” 2da gen., iPad Pro 10.5”, y iPad 6ta gen.
    • macOS Sequoia 15.6: para todos los equipos compatibles.
    • tvOS 18.6: Apple TV HD y Apple TV 4K (todos los modelos).
    • watchOS 11.6: Apple Watch Series 6 y posteriores.
    • visionOS 2.6: Apple Vision Pro.

    Recomendación: Aunque hasta el momento no se ha reportado ningún ataque específico contra usuarios de dispositivos Apple, se recomienda encarecidamente actualizar a la versión más reciente del software para mantener la seguridad y estabilidad del sistema.

     

     

    Apple Fixes Safari Flaw Also Exploited as a Zero-Day in Google Chrome

     

    Apple has rolled out security updates across its product ecosystem, including a key patch for a vulnerability previously exploited in Google Chrome as a zero-day earlier this month.

    The flaw, cataloged as CVE-2025-6558 with a CVSS score of 8.8, stems from improper input validation in the browser’s ANGLE and GPU components. An attacker could leverage this issue through a specially crafted HTML page to break out of the browser’s sandbox protections.

    Although specifics on the exploit remain undisclosed, Google acknowledged active exploitation in the wild. The vulnerability was reported by researchers Clément Lecigne and Vlad Stolyarov from Google’s Threat Analysis Group (TAG).

    Apple has confirmed the same vulnerability impacts WebKit, the open-source engine used by Safari, and has patched the issue in its latest updates.
    “This is a vulnerability in open-source code, and Apple’s software is among the impacted projects,” the company said.

    If exploited, it could cause Safari to crash unexpectedly while handling malicious web content.

     

    Affected and Updated Versions

       

    • iOS 18.6 and iPadOS 18.6: iPhone XS and newer, iPad Pro (13”, 12.9” 3rd gen and newer, 11” 1st gen and newer), iPad Air 3rd gen and newer, iPad 7th gen and newer, iPad mini 5th gen and newer.
    • iPadOS 17.7.9: iPad Pro 12.9” 2nd gen, iPad Pro 10.5”, iPad 6th gen.
    • macOS Sequoia 15.6: All compatible Macs.
    • tvOS 18.6: All Apple TV HD and 4K models.
    • watchOS 11.6: Apple Watch Series 6 and above.
    • visionOS 2.6: Apple Vision Pro.

    Recommendation: There’s no evidence this flaw was exploited against Apple device users directly, but it’s strongly recommended to update all software to stay protected.

     

    Preguntas frecuentes

    ¿Para que sirve el Pentesting?

    +

    El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

    ¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

    +

    El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

    1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
    2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
    3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
    4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

    En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

    ¿Qué es el Phishing Ético?

    +

    El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

    Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

    ¿Qué es un Red Team en Ciberseguridad?

    +

    Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

    ¿Qué es la Gestión de Vulnerabilidades?

    +

    La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

    1. Identificación de Vulnerabilidades
    2. Evaluación de Riesgos
    3. Priorización
    4. Mitigación y Solución
    5. Seguimiento Continuo
    6. Comunicación y Documentación
    7. Formación y Concienciación

    La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

    ¿Tienes dudas?, contáctanos

    Últimas publicaciones

    Captura de pantalla 2025 09 12 a las 12.01.00 p.m

    La vulnerabilidad crítica CVE-2025-5086 en DELMIA Apriso se explota activamente y CISA emite una advertencia.

    12/09/2025
    Captura de pantalla 2025 08 22 a las 10.35.29 a.m

    Leyes y normativas vigentes y en proceso en Chile vs Latam

    22/08/2025
    Captura de pantalla 2025 07 30 a las 11.47.53 a.m

    Apple corrige vulnerabilidad en Safari también explotada como Zero-Day en Google Chrome

    30/07/2025

    Todas las Categorías