Negli ultimi giorni è emersa una nuova e pericolosa vulnerabilità sui dispositivi Apple — iPhone, iPad e Mac — che permette a cybercriminali di prendere il controllo del device semplicemente inviando un’immagine malevola. Questa vulnerabilità è già stata sfruttata in attacchi molto mirati e riguarda tantissime versioni di iOS, iPadOS e macOS. Aggiorna subito i tuoi dispositivi Apple, verifica di avere l’ultimo aggiornamento disponibile e non aprire immagini né allegati da fonti non sicure finché non hai aggiornato. Mantieni attivi antivirus e meccanismi di sicurezza, soprattutto per i profili amministratore.
Che cosa è stato scoperto: il cuore della vulnerabilità
Tra il 20 e il 25 agosto 2025, Apple ha rilasciato aggiornamenti di sicurezza critici a seguito della scoperta di una vulnerabilità definita “zero-day” (ossia sconosciuta anche al produttore fino a poco prima della patch) nei sistemi operativi iOS, iPadOS e macOS, identificata come CVE-2025-43300. Questa vulnerabilità riguarda il framework ImageIO, cioè la componente che gestisce apertura e scrittura di immagini sui dispositivi Apple. Qui, un attacco tramite una modifica “fuori dai limiti” della memoria (out-of-bounds write) permette, semplicemente inviando una immagine appositamente manipolata, di indurre il sistema ad eseguire codice arbitrario, cioè qualsiasi programma voluto dall’attaccante.
In altre parole: basta aprire una foto inviata da un malintenzionato per rischiare il furto di dati, controllo del dispositivo e installazione di malware. Gli attacchi reali sono già stati confermati, anche se hanno colpito finora un numero limitato e molto selezionato di obiettivi.
Chi è a rischio?
La falla interessa molteplici versioni dei sistemi Apple:
- iOS precedenti alla 18.6.2
- iPadOS precedenti alle versioni 18.6.2 e 17.7.10
- macOS Sonoma prima della 14.7.8
- macOS Ventura prima della 13.7.8
- macOS Sequoia prima della 15.6.1
Sono coinvolti quindi la vasta maggioranza degli iPhone, iPad e computer Apple non aggiornati nelle ultime settimane. Apple ha confermato la presenza di exploit già in circolazione, legati soprattutto ad attacchi sofisticati contro individui specifici, per esempio attivisti, giornalisti, personale diplomatico.
Come funziona l’attacco
L’attacco sfrutta una debolezza nel processamento delle immagini: una volta caricato un file immagine creato ad arte, il sistema viene indotto a scrivere dati in zone di memoria non previste. È così possibile corrompere il funzionamento dei programmi e, nel caso peggiore, eseguire codice con i privilegi dell’utente che sta utilizzando il dispositivo. Questo significa che, se si usa un account amministratore, l’attaccante può installare software, accedere ai dati personali, ottenere le credenziali ed eventualmente propagare l’attacco verso altri utenti o sistemi.
Particolarmente grave è la possibilità di concatenare questa vulnerabilità con altre falle di App di messaggistica (es. WhatsApp o iMessage) per avviare campagne di spyware: in casi reali individuati, solo l’apertura di un messaggio contenente una immagine malevola può essere sufficiente per compromettere il device senza che l’utente se ne accorga.
Altre vulnerabilità collegate
Non si tratta di un caso isolato: negli stessi aggiornamenti Apple ha corretto anche altri bug ad alto rischio, tra cui:
- Vulnerabilità di esecuzione di codice tramite font malevoli (CVE-2025-43400).
- Altre falle che permettevano escalation di privilegi e accesso ai dati utente (es. CVE-2025-24085).
- Problemi di corruzione di memoria nei sottosistemi SQLite, Spotlight e la gestione dei permessi di filesystem.
Tutte queste falle combinate aumentano il rischio di attacchi complessi e multidimensionali, specie se un utente non aggiorna prontamente il sistema.
Risposta di Apple e raccomandazioni ufficiali
Apple ha risposto sollecitamente distribuendo aggiornamenti a tutte le versioni recenti dei propri sistemi operativi, e — data la gravità e la possibilità di exploit attivo — alcuni update sono stati retroportati anche su versioni di sistema più vecchie tuttora in uso aziendale. Le autorità di sicurezza di tutto il mondo (ad esempio l’Agenzia per la Cybersecurity di Singapore) hanno anch’esse lanciato l’allarme, invitando caldamente ad aggiornare immediatamente tutti i dispositivi Apple, sia personali che aziendali.
Apple non ha rilasciato dettagli tecnici approfonditi per non agevolare la creazione di exploit, ma la vulnerabilità viene classificata come gravissima (CVSS score 8.8 su 10 e superiore).
Consigli pratici per ogni utente Apple
Chiunque abbia un iPhone, iPad o Mac dovrebbe immediatamente:
- Cercare aggiornamenti di sistema nelle impostazioni e procedere senza indugi all’installazione.
- Riavviare il dispositivo dopo l’aggiornamento per assicurarsi che le patch siano attive.
- Non aprire immagini né altri allegati provenienti da fonti sconosciute o sospette, specialmente via email o app di messaggistica.
- Abilitare il blocco automatico allegati sconosciuti, se disponibile nell’App che si utilizza.
- Limitare l’uso di account amministratore solo quando indispensabile per ridurre i danni in caso di attacco.
Approfondimento: perché le vulnerabilità sulle immagini sono così pericolose?
L’elaborazione di immagini si trova al centro di moltissime attività digitali quotidiane: venire colpiti da un exploit di questo tipo significa essere esposti in moltissimi scenari, anche soltanto visitando una pagina web malevola, ricevendo una foto su una chat, oppure aprendo un allegato. Il framework ImageIO è progettato per automatizzare decodifica di decine di formati, spesso con codice di terze parti, aumentando la probabilità di errori difficili da prevenire. Elementi come le foto digitali, tipicamente considerate innocue, diventano veicolo di attacco veramente alla portata di tutti i cybercriminali esperti.
Quando una vulnerabilità riguarda la scrittura fuori dai limiti, può venire sfruttata per eseguire ogni tipo di istruzione sul device attaccato, anche con privilegi di amministratore. Il rischio non è solo la compromissione del dispositivo ma anche il furto di dati personali sensibili come password, credenziali bancarie, email riservate, oppure — in scenari aziendali — l’accesso a sistemi interni.
Come si è evoluto lo scenario degli attacchi
Negli ultimi anni il panorama delle minacce informatiche contro i clienti Apple è diventato sempre più sofisticato: dopo gli exploit di Pegasus e simili, strumenti di attacco cosiddetti “zero-click” (che non richiedono alcuna interazione consapevole della vittima) sono diventati più diffusi, con attori malevoli pronti a utilizzare ogni nuova vulnerabilità non appena scoperta e prima che le patch diffuse vengano installate da tutti gli utenti.
In questa occasione periodi di scoperta, analisi e diffusione delle patch si sono accavallati rapidamente: la collaborazione fra Apple, enti di sicurezza e produttori di software di terze parti come WhatsApp o Facebook ha permesso di mitigare in tempo il rischio di una diffusione più ampia, ma resta fondamentale l’aggiornamento tempestivo da parte degli utenti finali.
Implicazioni per aziende e professionisti
Per aziende, enti pubblici e professionisti IT la risposta immediata deve includere:
- Mappatura di tutti i dispositivi Apple in uso e verifica della presenza delle patch su ogni device.
- Informazione chiara ai dipendenti sui rischi e sulle corrette pratiche di sicurezza (diffidare da allegati inattesi, aggiornare subito, limitare i privilegi amministrativi, ecc).
- Attivazione temporanea di soluzioni di endpoint protection/EDR che possano bloccare eventuali exploit ancora non risolti.
Chi gestisce servizi cloud, architetture BYOD (Bring Your Own Device) o flotte di dispositivi Apple deve mettere in conto politiche di aggiornamento forzato e segmentazione della rete finché i sistemi non sono stati aggiornati del tutto.
Azioni approfondite e raccomandate:
- Automatizza gli aggiornamenti di sicurezza sui dispositivi aziendali tramite strumenti MDM/Fleet Management.
- Monitora costantemente le fonti ufficiali di Apple e organismi di cybersecurity per rilevare nuove patch o advisories.
- Implementa soluzioni di protezione da malware e ransomware, organizzando simulazioni di phishing e sensibilizzazione sull’apertura di allegati e immagini.
- Isola eventuali dispositivi non aggiornabili (vecchi, legacy, prototipi) su reti dedicate e senza connessioni sensibili.
- Verifica regolarmente i log di sistema e segnala qualsiasi comportamento sospetto sui device Apple, preferibilmente tramite strumenti di sicurezza centralizzati.
La tempestività nell’aggiornamento e la consapevolezza degli utenti sono fattori determinanti per arginare queste minacce moderne sempre più insidiose.
Fonte: https://cybersecuritynews.com/apple-code-execution-vulnerability-exploited
