Apple rilascia patch critiche per vulnerabilità zero-day in iOS e macOS — aggiorna subito i tuoi dispositivi

Apple rilascia patch critiche per vulnerabilità zero-day in iOS e macOS — aggiorna subito i tuoi dispositivi

Apple rilascia patch critiche per vulnerabilità zero-day in iOS e macOS — aggiorna subito i tuoi dispositivi

Cosa devi fare adesso

Se possiedi un iPhone, iPad, Mac, Apple Watch o Apple TV, devi aggiornare il tuo dispositivo immediatamente. Apple ha scoperto che due vulnerabilità critiche nel suo browser Safari e nel motore di rendering WebKit sono state sfruttate in attacchi reali contro persone specifiche. La buona notizia: Apple ha già rilasciato le patch di sicurezza. La cattiva notizia: finché non aggiorni il tuo dispositivo, rimani vulnerabile.

L’azione da compiere è semplice: vai nelle impostazioni del tuo dispositivo, seleziona “Aggiornamenti software” e installa l’ultima versione disponibile. Dopo l’installazione, riavvia il dispositivo. Questo processo rimuove qualsiasi malware residente in memoria e completa l’installazione della patch di sicurezza.

Quali vulnerabilità sono state scoperte?

Apple ha identificato due vulnerabilità critiche nel WebKit, il motore che alimenta Safari e tutti i browser su iOS e iPadOS:

CVE-2025-43529 — Questa è una vulnerabilità di tipo “use-after-free” che consente a un attaccante di eseguire codice arbitrario sul tuo dispositivo. Un utente malintenzionato può sfruttarla semplicemente facendoti visitare una pagina web appositamente creata. Non è necessario cliccare su nulla di particolare o installare app — la sola visualizzazione del contenuto web dannoso è sufficiente.

CVE-2025-14174 — Questa vulnerabilità causa corruzione della memoria quando il tuo dispositivo elabora contenuto web dannoso. Ha un punteggio CVSS di 8.8, indicando una gravità molto elevata. Interessante notare che Google ha scoperto e patchato la stessa vulnerabilità nel suo browser Chrome il 10 dicembre 2025, suggerendo che si tratta di un problema sistemico che colpisce più fornitori.

Chi è stato colpito?

Secondo Apple, queste vulnerabilità sono state sfruttate in attacchi “estremamente sofisticati” contro individui specifici e di alto profilo che utilizzavano versioni di iOS precedenti a iOS 26. Tuttavia, non assumere che non sei un bersaglio. Gli esperti di sicurezza avvertono che il fatto che gli attacchi siano stati inizialmente rivolti a individui specifici non significa che il tuo dispositivo sia al sicuro. Le vulnerabilità rimangono pericolose per chiunque non abbia installato gli aggiornamenti.

Quali versioni devo installare?

Apple ha rilasciato aggiornamenti di sicurezza il 12 dicembre 2025 per l’intero suo ecosistema:

  • iPhone XS e successivi: iOS 26.2 oppure iOS 18.7.3 (a seconda del modello)
  • iPad (7ª generazione e successivi): iPadOS 26.2 oppure iPadOS 18.7.3
  • Mac: macOS Tahoe 26.2
  • Apple Watch: watchOS 26.2
  • Apple TV: tvOS 26.2
  • Vision Pro: visionOS 26.2
  • Safari (su macOS Sonoma e Sequoia): Safari 26.2

Il fatto che Apple abbia rilasciato patch per praticamente tutto il suo ecosistema sottolinea l’importanza di questi aggiornamenti. Se utilizzi qualsiasi dispositivo Apple, è probabile che tu abbia bisogno di un aggiornamento.

Perché è così urgente?

Queste sono vulnerabilità zero-day, il che significa che erano sconosciute ai produttori di software prima di essere scoperte dagli attaccanti. Ciò le rende particolarmente pericolose perché gli hacker le hanno conosciute prima della comunità di sicurezza. Inoltre, sono già state attivamente sfruttate in attacchi reali, il che significa che i criminali informatici hanno già dimostrato di saperle usare.

L’Agenzia per la Sicurezza Cibernetica (CISA) ha aggiunto CVE-2025-43529 al suo catalogo di vulnerabilità note come sfruttate, esortando gli utenti a installare la patch prima del 5 gennaio 2026. Sebbene tale data sia ormai passata, l’urgenza rimane: ogni giorno senza aggiornamento è un giorno in cui il tuo dispositivo rimane esposto.

Come proteggersi oltre l’aggiornamento

Dopo aver aggiornato il tuo dispositivo:

  • Riavvia il dispositivo per assicurarti che gli aggiornamenti siano completamente installati e che qualsiasi malware residente in memoria sia rimosso
  • Evita siti web sospetti — anche se sei aggiornato, è sempre buona pratica non visitare siti che sembrano non sicuri
  • Abilita l’autenticazione a due fattori su tutti i tuoi account importanti
  • Monitora i tuoi account per attività sospette nei prossimi mesi
  • Mantieni gli aggiornamenti automatici abilitati per ricevere future patch di sicurezza non appena disponibili

Technical Deep Dive

Analisi tecnica delle vulnerabilità

CVE-2025-43529 — Use-After-Free in WebKit

Questa vulnerabilità è un classico errore di gestione della memoria. Quando WebKit elabora il contenuto web, alloca memoria per vari oggetti. Se il codice tenta di accedere a un oggetto dopo che la memoria è stata liberata, crea una condizione di use-after-free. Un attaccante può sfruttare questa finestra temporale per scrivere codice arbitrario in quella posizione di memoria, portando a esecuzione di codice remoto (RCE).

La patch di Apple ha affrontato il problema con “improved memory management”, il che significa che il codice ora controlla adeguatamente se un oggetto è ancora valido prima di tentare di accedervi.

CVE-2025-14174 — Out-of-Bounds Memory Access in ANGLE

Questa vulnerabilità è stata originariamente scoperta da Google nel suo componente grafico ANGLE (Almost Native Graphics Layer Engine). ANGLE è una libreria open-source utilizzata per tradurre le API grafiche (come Direct3D) in Metal su macOS e iOS.

L’accesso fuori dai limiti (out-of-bounds) si verifica quando il codice tenta di leggere o scrivere in una posizione di memoria al di fuori dei limiti di un buffer allocato. Nel caso di CVE-2025-14174, il problema si trova nel renderer Metal di ANGLE. Quando il renderer elabora comandi grafici da una pagina web dannosa, può accedere a memoria oltre i confini del buffer, causando corruzione della memoria.

Poiché ANGLE è condiviso tra più piattaforme e browser, questo spiega perché sia Google che Apple hanno dovuto patcharla. La patch di Apple ha implementato “improved bounds checking”, aggiungendo controlli di validazione per garantire che tutti gli accessi alla memoria rimangono entro i limiti allocati.

Vettore di attacco

Entrambe le vulnerabilità vengono sfruttate attraverso il rendering di contenuto web dannoso. L’attaccante crea una pagina HTML o JavaScript che, quando elaborata dal browser, attiva la condizione di vulnerabilità. Poiché WebKit è il motore di rendering per Safari e per tutti i browser su iOS e iPadOS, qualsiasi browser su questi sistemi è potenzialmente vulnerabile.

Un utente non deve cliccare su un link specifico o interagire con la pagina in alcun modo particolare — il semplice caricamento della pagina è sufficiente per attivare la vulnerabilità. Questo la rende particolarmente pericolosa.

Implicazioni di sicurezza più ampie

Il fatto che Google e Apple abbiano dovuto patcharla contemporaneamente suggerisce che questa potrebbe essere parte di una campagna di exploit più ampia. Gli attaccanti sofisticati spesso sviluppano exploit che funzionano su più piattaforme per massimizzare il loro raggio d’azione.

La natura “zero-day” di queste vulnerabilità significa che gli attaccanti le conoscevano prima della divulgazione pubblica. Questo sottolinea l’importanza di mantenere i sistemi aggiornati — non puoi proteggere da ciò che non conosci, ma una volta che le patch sono disponibili, l’aggiornamento è la tua migliore difesa.

Mitigazioni implementate

Oltre ai fix diretti alle vulnerabilità, Apple ha implementato mitigazioni di sistema più ampie:

  • Improved input validation — Il codice ora valida più rigorosamente i dati in input prima di elaborarli
  • Enhanced memory management — Controlli più rigorosi sul ciclo di vita degli oggetti in memoria
  • Bounds checking — Validazione sistematica dei confini dei buffer prima dell’accesso

Queste mitigazioni non solo risolvono le vulnerabilità specifiche, ma migliorano la postura di sicurezza generale del WebKit.

Raccomandazioni per gli sviluppatori

Gli sviluppatori che lavorano con WebKit o ANGLE dovrebbero:

  • Rivedere il loro codice per simili condizioni di use-after-free
  • Implementare static analysis tools per rilevare potenziali accessi fuori dai limiti
  • Utilizzare memory sanitizers durante lo sviluppo
  • Partecipare ai programmi di bug bounty per identificare proattivamente le vulnerabilità
  • Tenere traccia dei CVE relativi alle dipendenze di terze parti come ANGLE

Monitoraggio futuro

Gli amministratori di sistema e i professionisti della sicurezza dovrebbero:

  • Implementare il tracking automatico degli aggiornamenti di sicurezza di Apple
  • Testare gli aggiornamenti in ambienti di staging prima della distribuzione globale
  • Monitorare i log di sistema per sospetti comportamenti di WebKit
  • Considerare l’implementazione di content security policies (CSP) più restrittive per limitare l’esecuzione di script non autorizzati
  • Mantenere un inventario aggiornato di tutti i dispositivi Apple nell’organizzazione

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto