Apple ha rilasciato aggiornamenti di sicurezza urgenti per correggere due vulnerabilità zero-day nel motore WebKit, già sfruttate in attacchi sofisticati contro dispositivi iOS e macOS. Soluzione immediata: vai su Impostazioni > Generali > Aggiornamento software e installa gli update disponibili ora, come iOS 26.2 o iPadOS 26.2, per bloccare gli exploit e proteggere i tuoi dati.
Queste falle colpiscono versioni precedenti di iOS, iPadOS, macOS e Safari, permettendo l’esecuzione di codice remoto tramite semplici contenuti web malevoli. Gli attacchi sono mirati a utenti specifici, spesso con spyware avanzato, rendendo l’aggiornamento essenziale per tutti i possessori di iPhone 11 e successivi, iPad Pro e Mac con macOS Sonoma o Tahoe.
Impatto sui dispositivi
– iPhone e iPad: Modelli dal 11 in poi, inclusi vari iPad Pro.
– Mac: Versioni Sonoma, Ventura, Monterey e Tahoe.
– Altri: Safari 26.2, watchOS, tvOS e visionOS.
Le patch migliorano la gestione della memoria e aggiungono controlli per prevenire corruzione e accessi non autorizzati.
Approfondimento tecnico
Queste vulnerabilità, identificate come CVE-2025-43529 (use-after-free che consente esecuzione di codice arbitrario) e CVE-2025-14174 (corruzione della memoria tramite contenuti web manipolati), hanno un punteggio CVSS elevato, segnalando un rischio critico. Scoperte in collaborazione con il Threat Analysis Group di Google, fanno parte di una catena di exploit attiva su versioni iOS precedenti alla 26. Sono state inserite nel catalogo delle vulnerabilità sfruttate note, con scadenza per la patch entro gennaio 2026.
Le correzioni coinvolgono:
– Migliorata gestione della memoria in WebKit per CVE-2025-43529.
– Validazione rafforzata per CVE-2025-14174.
Versioni aggiornate includono iOS 26.2, iPadOS 26.2, iOS 18.7.3, Safari 26.2 e macOS Tahoe 26.2. Per esperti, verifica i log di sicurezza su macOS Sonoma/Sequoia per CVE correlate come CVE-2025-43541 e monitora WebKit Bugzilla per dettagli aggiuntivi. Questa è la nona zero-day corretta da Apple nel 2025.
Fonte: https://www.linkedin.com/pulse/apple-releases-emergency-patch-two-zero-day-flaws-zqf5e
