Apple ha confermato che due gravi vulnerabilità zero-day nel suo ecosistema sono state attivamente sfruttate in attacchi altamente sofisticati contro utenti specifici. Queste falle colpiscono iPhone, iPad, Mac, Apple Watch, Apple TV, Vision Pro e Safari. La buona notizia è che la soluzione è immediata: installa gli aggiornamenti disponibili il prima possibile.
Per aggiornare i tuoi dispositivi:
– iPhone e iPad: vai su Impostazioni > Generali > Aggiornamento software
– Mac: vai su Impostazioni di Sistema > Generali > Aggiornamento software
– Installa iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 o versioni precedenti come iOS 18.7.3
Gli attacchi sfruttavano due vulnerabilità nel motore WebKit, il cuore di Safari e di tutti i browser su iPhone e iPad. Semplicemente visitando un sito web malevolo, gli hacker potevano eseguire codice arbitrario sul dispositivo, installare spyware, rubare dati sensibili o monitorare le attività dell’utente. Sebbene gli attacchi fossero inizialmente rivolti a individui ad alto profilo come attivisti e giornalisti, tutti gli utenti dovrebbero aggiornare immediatamente per massima sicurezza.
Questa è almeno la nona vulnerabilità zero-day corretta da Apple nel 2025, evidenziando un trend preoccupante di attaccanti che investono pesantemente nello sfruttamento dei motori browser per aggirare le difese di sicurezza.
Cosa rende questi attacchi pericolosi
Le due vulnerabilità (CVE-2025-43529 e CVE-2025-14174) sfruttavano errori nella gestione della memoria in WebKit. Un utente non aggiornato poteva essere compromesso semplicemente aprendo un link malevolo, senza alcun avviso o interazione aggiuntiva. Gli attacchi erano descritti come “estremamente sofisticati” e parte di una catena di infezione coordinata, il che significa che i malintenzionati avevano pianificato attentamente come sfruttare queste falle in sequenza.
Poiché su iOS tutti i browser devono utilizzare WebKit, anche Chrome, Firefox e altre alternative installate su iPhone erano vulnerabili. Cambiare browser non offriva protezione.
Implicazioni per organizzazioni e utenti
Questo episodio sottolinea l’importanza critica di trattare gli aggiornamenti di sicurezza Apple con la stessa priorità riservata alle patch critiche negli ambienti aziendali tradizionali. Con milioni di dispositivi iOS e macOS utilizzati in contesti professionali, le organizzazioni devono implementare processi di aggiornamento rapidi per ridurre la finestra di esposizione.
Per utenti ad alto profilo e organizzazioni in settori sensibili, l’applicazione tempestiva degli aggiornamenti rimane una delle poche contromisure realmente efficaci contro attacchi basati su zero-day. Apple ha rafforzato i controlli interni e migliorato la gestione della memoria per prevenire ulteriori abusi simili.
Technical Deep Dive
Dettagli tecnici delle vulnerabilità:
CVE-2025-14174 è una vulnerabilità di corruzione della memoria in WebKit causata da validazione insufficiente nel processamento di contenuti web. L’errore permetteva a un attaccante di eseguire codice arbitrario semplicemente visitando una pagina infetta. Apple e il Google Threat Analysis Group hanno collaborato per identificare e correggere il difetto, implementando controlli di bounds validation migliorati nel motore di rendering.
CVE-2025-43529 rappresenta un’altra falla di corruzione memoria strettamente correlata, confermata come sfruttata in attacchi reali contro versioni precedenti di iOS 26. Le due vulnerabilità facevano parte della stessa catena di infezione, suggerendo una campagna coordinata.
Dispositivi interessati:
– iPhone 11 e successivi
– iPad Pro (12.9″ 3a generazione e successive, 11″ 1a generazione e successive)
– iPad Air 3 e successive
– iPad 8a generazione e successive
– iPad mini 5a generazione e successive
– Tutti i Mac con Safari
– Apple Watch, Apple TV e Vision Pro
Aggiornamenti disponibili:
– iOS 26.2 e iPadOS 26.2
– macOS Tahoe 26.2
– watchOS 26.2
– tvOS 26.2
– visionOS 26.2
– Safari 26.2 per macOS Sonoma e Sequoia
– Patch standalone come iOS 18.7.3 per dispositivi più vecchi
Mitigazioni implementate:
Apple ha irrigidito la gestione della memoria e aggiunto controlli supplementari per prevenire condizioni di utilizzo improprio delle aree di memoria. I dettagli tecnici completi dell’exploit non sono stati divulgati pubblicamente per evitare di fornire una mappa dell’attacco ai malintenzionati, una pratica standard nella divulgazione responsabile delle vulnerabilità.
Contesto del 2025:
Con queste correzioni, Apple ha affrontato almeno nove vulnerabilità zero-day sfruttate sul campo nel 2025. Questo riflette una tendenza chiara che vede gli attaccanti investire pesantemente nei motori del browser e nelle pipeline di rendering per bypassare il sandboxing e compromettere silenziosamente i bersagli critici. La frequenza crescente di tali exploit nel 2025 suggerisce che i browser rimangono una superficie d’attacco primaria per operazioni di spionaggio sofisticate.
