La actualización a iOS 18.6, iPadOS 18.6 y macOS Sequoia 15.6 contiene un parche de seguridad muy importante, entre todos los que sabemos que traen estas actualizaciones de seguridad, que ha sido utilizado por maleantes por medio mundo y que afectaba al motor web de Chrome y también al de Safari, porque la vulnerabilidad estaba en un componente que utilizan que es open source. En los últimos años uno de los métodos más utilizados para conseguir tener puertas por las que romper la seguridad de unos dispositivos es conseguir que un desarrollador inyecte código malicioso, debidamente oculto u ofuscado, en componentes open source. Por ejemplo, aunque no es el caso de esta vulnerabilidad, si el componente que lee imágenes jpeg tiene esta vulnerabilidad, se incluye y nadie se da cuenta, es sólo cuestión de tiempo que Google la utilice en Chrome y por lo tanto Android, y que Apple haga lo mismo con WebKit y por lo tanto iOS / Safari, incluyendo también macOS. Esto permite tener ahí la posibilidad de entrar sin que Apple o Google lo sepan, remotamente, aprovechando la utilización masiva y continua de código open source.
Cuando estos problemas se descubren bien por que especialistas de seguridad los encuentran o la propia comunidad los delata en el código open source publicado, las empresas corren a parchearlos rápidamente pero mientras no se ha sabido, esa vulnerabilidad ha podido ser aprovechada, y eso es lo que ha ocurrido en esta ocasión.
Se trata de la vulnerabilidad día cero CVE-2025-6558 (vía Bleeping Computer), que Google ya ha parcheado en Chrome y que Apple también acaba de hacer lo mismo como parte de todos los parches de iOS 18.6. No se sabe si alguien ha utilizado esto para entrar en algún iPhone, iPad o Mac sin permiso, pero sí que se sabe que en Android ha sido utilizada antes de que fuera parcheada.
El mundo de la programación de sistemas operativos y todos sus componentes hoy es increíblemente complicado porque son enormes, hablamos de miles de componentes y millones de líneas de código que, a menudo, es imposible tener perfectamente controladas y auditadas porque además las actualizaciones se suceden a velocidad de vértigo. Los motores web son siempre la parte más compleja y en ellos trabajan literalmente miles de personas, tanto dentro de Google o Apple y otras empresas como particulares que aportan su tiempo por amor al arte, desde su casa. Aunque hay mecanismos de comprobación, es inevitable que algún que otro bug, intencionado o no, se cuele hasta el usuario final de un iPhone. Así son las cosas hoy en día.
