Apple risolve una pericolosa vulnerabilità WebKit: cosa devi sapere
Negli ultimi giorni di luglio 2025, Apple ha rilasciato una serie di aggiornamenti urgenti per i suoi sistemi operativi – iOS, macOS, iPadOS, watchOS, tvOS e visionOS – mirati a correggere diverse vulnerabilità, tra cui la gravissima CVE-2025-6558. Questa falla, già sfruttata attivamente in attacchi contro utenti di Google Chrome, interessa direttamente anche Safari e tutte le applicazioni basate sul motore WebKit.
Che cos’è la vulnerabilità CVE-2025-6558?
La vulnerabilità, identificata come CVE-2025-6558, risiede nel componente ANGLE—una libreria grafica open-source inclusa sia in Chrome che in Safari tramite WebKit. Il problema nasce da una non corretta validazione degli input non affidabili nel motore grafico GPU. In pratica, un sito web malevolo poteva inviare comandi HTML opportunamente manipolati in modo da permettere a un attaccante remoto di eseguire codice arbitrario sul computer o sullo smartphone della vittima. In questo modo si bypassavano le protezioni del “sandbox”, ovvero il sistema di isolamento che separa il browser dal resto del sistema operativo.
Gli esperti della Threat Analysis Group di Google, impegnati nella difesa di utenti ad alto rischio come giornalisti, politici e dissidenti, hanno scoperto la vulnerabilità a metà giugno. Google ha da subito classificato il bug come già sfruttato (“zero-day”) e ha corretto Chrome il 15 luglio 2025. Apple ha fatto lo stesso una settimana dopo, estendendo la patch a tutto il proprio ecosistema.
Perché anche Apple era vulnerabile?
Sia Safari che Chrome condividono parte del loro codice sorgente, in particolare per quanto riguarda la gestione della grafica tramite ANGLE e WebKit. Questo ha fatto sì che una falla individuata e sfruttata su Chrome potesse teoricamente rappresentare una minaccia anche per gli utenti Apple. Fortunatamente, secondo Apple, non sono emerse prove concrete di exploit attivi contro Safari o altri browser basati su WebKit, ma il potenziale rischio era altissimo.
Come funzionava l’attacco
Attraverso questa falla, un cybercriminale poteva inviare all’utente una pagina HTML malevola (tramite email, messaggistica o siti compromessi) che, una volta caricata, permetteva l’esecuzione di codice maligno sfruttando la GPU. Uno degli scenari più temuti dagli analisti è la possibilità di “evasione dalla sandbox”, perché così l’attaccante ottiene la capacità di accedere a dati sensibili, installare spyware o muoversi verso altri sistemi interni all’organizzazione.
Quali sistemi sono a rischio e chi deve aggiornare?
- iOS e iPadOS 18.6
- macOS Sequoia 15.6
- Safari (versione 18.6) e browser che utilizzano WebKit
- watchOS, tvOS, visionOS e altri ambienti Apple
Se utilizzi un prodotto Apple, sia esso uno smartphone, un computer, una smart TV o uno smartwatch, DEVI eseguire l’aggiornamento alla versione più recente disponibile. Questo è particolarmente importante per aziende, amministratori IT e chi gestisce dispositivi utilizzati per la navigazione o lo sviluppo web.
Suggerimenti e consigli pratici per la sicurezza
1. Aggiorna SUBITO tutti i dispositivi Non rimandare: esegui il controllo aggiornamenti su tutti i dispositivi Apple in tuo possesso, comprese le piattaforme meno utilizzate come watchOS e tvOS.
2. Verifica che anche le app di terze parti siano aggiornate Alcuni browser o strumenti di sviluppo su macOS e iOS sfruttano WebKit: aggiorna anche queste app.
3. Per le aziende
- Automatizza i processi di aggiornamento con MDM (Mobile Device Management).
- Monitora l’applicazione delle patch tramite dashboard dedicate per anticipare vulnerabilità residue.
- Sensibilizza gli utenti sull’importanza di aggiornare tempestivamente i dispositivi aziendali.
4. Navigazione sicura
- Evita di cliccare su link sospetti ricevuti via email o messaggistica.
- Utilizza estensioni o impostazioni privacy che bloccano contenuti potenzialmente dannosi.
- Attiva l’isolamento di Safari (
Impostazioni > Safari > Privacy e Sicurezza) per rafforzare ulteriormente le difese contro exploit da browser.
5. Backup e disaster recovery Mantieni backup periodici dei dati critici, anche se la vulnerabilità non riguarda la perdita di dati: un attacco riuscito potrebbe comunque compromettere la macchina.
6. Sii sempre informato sulle nuove vulnerabilità Iscriviti agli avvisi di sicurezza Apple e monitora blog e siti specializzati come il National Vulnerability Database (NVD) o servizi di threat intelligence.
Prevenire è meglio che curare
Questa ondata di vulnerabilità—che colpisce non solo Apple, ma tutto l’ecosistema web—dimostra ancora una volta come sia fondamentale la tempestività nell’aggiornamento dei dispositivi e la corretta informazione degli utenti. Anche se Apple dichiara di non aver individuato abusi concreti contro Safari, il rischio teorico è stato reale.
Ricorda: le vulnerabilità zero-day vengono spesso sfruttate in modo selettivo, soprattutto contro profili ad alto rischio, ma basta una disattenzione per rientrare tra le vittime.
Domande frequenti
Cosa dovrei fare se non posso aggiornare subito? Limita l’uso del browser, evita siti sconosciuti e non cliccare su allegati o link sospetti fino a quando non potrai aggiornare.
Aggiornando perdo dati o funzionalità? Gli aggiornamenti di sicurezza Apple sono studiati per non compromettere i tuoi dati. È comunque buona pratica effettuare un backup prima di procedere.
La falla riguarda solo Safari? No. La vulnerabilità nasce su WebKit e ANGLE, usati anche da app di terze parti, quindi l’aggiornamento interessa tutti i programmi che si appoggiano su questi componenti.
Le versioni precedenti sono ancora vulnerabili? Sì. Solo l’ultima versione di ciascun sistema riceve le patch. Verifica dal pannello aggiornamenti che la build sia quella rilasciata il 29 luglio 2025 o successiva.
- Non sottovalutare la gravità di questi avvisi: le vulnerabilità zero-day sono quelle più appetibili e sfruttate dai cybercriminali.
- Automatizza controlli e aggiornamenti dove possibile, specialmente in contesti aziendali o familiari con molti dispositivi.
- Ricorda l’importanza della formazione alla sicurezza: anche la migliore tecnologia diventa inefficace se non accompagnata da utenti consapevoli.
Seguendo questi accorgimenti, puoi ridurre drasticamente il rischio di cadere vittima di attacchi che sfruttano le falle appena corrette, garantendo privacy e sicurezza ai tuoi dati personali e professionali.
Fonte: https://lifehacker.com/tech/apple-security-patch-fixes-chrome-vulnerability?utm_medium=RS
