La Agencia de Seguridad Cibernética y de Infraestructura (CISA) ha emitido una alerta de alta prioridad sobre una vulnerabilidad crítica en múltiples productos de Apple hace 3 días.
Identificado como CVE-2022-48503, este problema no especificado en el motor JavaScriptCore podría permitir a los atacantes ejecutar código arbitrario simplemente procesando contenido web malicioso. La falla afecta a macOS, iOS, tvOS, Safari y watchOS, poniendo a millones de usuarios en riesgo de explotación remota.
La vulnerabilidad, revelada por primera vez en 2022, ha resurgido en ataques activos, según el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA. Los investigadores de seguridad señalan que, si bien Apple la parcheó en actualizaciones posteriores, los sistemas sin parchear o al final de su vida útil (EoL de las siglas en inglés de «end-of-life») siguen siendo objetivos prioritarios.
“Esto no es solo una reliquia del pasado: los actores de amenazas están utilizando viejos errores como armas contra dispositivos obsoletos”, dijo un portavoz de CISA en el aviso.
La agencia enfatizó que la gravedad de la vulnerabilidad se debe a su potencial para comprometer completamente el sistema, permitiendo el robo de datos , la implementación de ransomware o una mayor propagación de malware.
Aunque no se han confirmado vínculos directos con campañas de ransomware, el historial de explotación desconocido subraya la urgencia de tomar medidas inmediatas.
Noticias relacionadas
Impacto generalizado en el ecosistema de Apple
El amplio alcance de la vulnerabilidad afecta a los principales sistemas operativos y navegadores de Apple. JavaScriptCore, el motor que impulsa Safari y otros sistemas de renderizado web en iOS, macOS, tvOS y watchOS, procesa elementos web dinámicos como scripts y animaciones.
Un atacante podría crear una página web o un enlace de correo electrónico con trampa para activar la vulnerabilidad, evadiendo así las defensas tradicionales. Los dispositivos más antiguos, como los que ejecutan iOS 15 o versiones anteriores de macOS, son especialmente vulnerables si no han recibido actualizaciones.
CISA advierte que los productos de fin de servicio (EoS) que ya no reciben soporte de Apple no ofrecen ninguna ruta de parche, lo que deja a los usuarios expuestos indefinidamente.
Apple ya actualizó los sistemas operativos para corregir la vulnerabilidad en 2023
La directiva de CISA es clara: Actualizar inmediatamente a las últimas versiones con parches del proveedor. Apple publicó correcciones en actualizaciones de seguridad desde principios de 2023, pero los usuarios deben verificar sus sistemas en Ajustes > General > Actualización de software.
Eso sí, el problema se solucionó mejorando las comprobaciones de límites. Este problema está corregido en tvOS 15.6, watchOS 8.7, iOS 15.6 y iPadOS 15.6, macOS Monterey 12.5 y Safari 15.6. El procesamiento de contenido web puede provocar la ejecución de código arbitrario.
Informes recientes indican que los ataques a las plataformas de Apple están aumentando un 20% interanual, lo que hace que mantenerse alerta sea fundamental. Las organizaciones que retrasan la aplicación de parches se arriesgan a sufrir infracciones en cascada, mientras que las personas deberían priorizar las actualizaciones para proteger su vida digital.
CISA también advirtió de otras vulnerabilidades que afectan a otros sistemas
Además de la vulnerabilidad antes mencionada que afectaba al ecosistema de Apple, CISA ha añadido otras 4 nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) , basándose en evidencia de explotación activa.
- CVE-2025-2746: Vulnerabilidad de omisión de autenticación de contraseña de resumen del servidor de sincronización de Kentico Xperience Staging
- CVE-2025-2747: Vulnerabilidad de omisión de autenticación de tipo de contraseña del servidor de sincronización de Kentico Xperience
- CVE-2025-33073: Vulnerabilidad de control de acceso inadecuado del cliente SMB de Microsoft Windows
- CVE-2025-61884: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Oracle E-Business Suite
