Agisci subito: aggiorna i tuoi dispositivi Apple
Apple ha rilasciato aggiornamenti di sicurezza urgenti per correggere due vulnerabilità WebKit sfruttate attivamente su iPhone, iPad e altri dispositivi. Se possiedi un iPhone 11 o modelli successivi, o un iPad recente, aggiorna immediatamente a iOS 26.2 o iPadOS 26.2, usciti il 12 dicembre 2025. Basta visitare una pagina web malevola per rischiare un attacco.
Quali dispositivi sono interessati?
I seguenti dispositivi Apple richiedono un aggiornamento immediato:
– iPhone 11 e tutti i modelli successivi
– iPad Pro 12.9 pollici (3ª generazione e successive)
– iPad Pro 11 pollici (1ª generazione e successive)
– iPad Air (3ª generazione e successive)
– iPad (8ª generazione e successive)
– iPad mini (5ª generazione e successive)
Anche Apple Watch Series 6 e successivi, modelli Apple TV, macOS Ventura, macOS Sonoma, macOS Sequoia, Safari 26.2, tvOS e visionOS hanno ricevuto le patch.
Come aggiornare
Vai su Impostazioni > Generali > Aggiornamento software sul tuo dispositivo e installa l’ultima versione. Apple sta distribuendo attivamente questi update e, in alcuni casi, richiede l’upgrade a iOS 26 invece della versione iOS 18.7.3 per dispositivi compatibili.
Chi è a rischio?
Apple ha confermato che gli attacchi mirano a “individui specifici”, suggerendo operazioni di tipo spyware piuttosto che crimini diffusi. Il pattern richiama campagne passate contro giornalisti, attivisti e figure politiche. Tutti gli utenti devono aggiornare comunque, poiché le vulnerabilità colpiscono il motore del browser usato da chiunque.
Perché è importante
Si tratta della settima vulnerabilità zero-day sfruttata nel 2025 corretta da Apple. L’exploit attivo dimostra che i threat actor cercano e armi ziano falle Apple, rendendo gli aggiornamenti tempestivi essenziali.
Approfondimento tecnico
Le due vulnerabilità, CVE-2025-43529 e CVE-2025-14174, sono problemi di corruzione della memoria nel motore di rendering core di WebKit. CVE-2025-43529 ha un punteggio CVSS di 9.8 su 10, indicando severità critica.
CVE-2025-43529 è un use-after-free in WebKit che causa corruzione della memoria per validazione impropria di contenuti web malevoli. Un attaccante può innescare corruzione della memoria ospitando contenuti malevoli su una pagina visitata dalla vittima, potenzialmente ottenendo esecuzione di codice arbitrario nel contesto del processo Safari o del browser.
CVE-2025-14174 coinvolge similmente corruzione della memoria tramite elaborazione di contenuti web malevoli, corretta con meccanismi di validazione migliorati. Entrambe sono state segnalate da Apple e dal Google Threat Analysis Group, indicando pratiche di divulgazione coordinate.
Le vulnerabilità colpiscono WebKit su tutte le versioni iOS, iPadOS e macOS, ma i bollettini Apple indicano attacchi limitati a “versioni iOS precedenti a iOS 26”. Questo suggerisce mitigazioni aggiuntive in iOS 26 o exploit non adattati alla nuova versione.
Aggiornamenti extra in iOS 26.2 e iPadOS 26.2 includono CVE-2025-43518 (accesso improprio ai file via API spellcheck in Foundation) e CVE-2025-43532 (corruzione memoria in Foundation). iOS 18.7.3 per dispositivi più vecchi corregge le stesse falle WebKit più CVE-2025-43512 (escalation privilegi tramite logica errata).
La natura coordinata di queste divulgazioni, unita a prove di exploit attivi, sottolinea l’importanza di mantenere versioni software aggiornate e trattare le vulnerabilità del motore browser con priorità alta, come vettori di attacco critici su dispositivi mobili.
Fonte: https://www.helpnetsecurity.com/2025/12/15/ios-macos-cve-2025-14174-cve-2025-43529/
