Apple ha appena lanciato iOS 26.2, un aggiornamento cruciale che risolve oltre 20 vulnerabilità di sicurezza, incluse due già sfruttate da attaccanti mirati. Se usi iOS 25 o versioni precedenti, aggiorna immediatamente andando su Impostazioni > Generali > Aggiornamento software: questo chiuderà brecce critiche usate da hacker sofisticati.
Le due vulnerabilità attivamente sfruttate
Queste falle si trovano in WebKit, il motore del browser Safari e di tutte le app di navigazione su iPhone. Basta visitare un sito malevolo per rischiare un compromesso totale, senza clic o download.
– CVE-2025-43529: un errore use-after-free che permette l’esecuzione di codice arbitrario tramite JavaScript malizioso, dando all’attaccante il controllo completo del dispositivo.
– CVE-2025-14174: un problema di corruzione della memoria, spesso concatenato al primo per aggirare le protezioni di iOS. Tali attacchi richiedono risorse avanzate, tipici di governi o gruppi criminali organizzati.
Altre correzioni critiche
L’aggiornamento include fix per:
– Kernel (CVE-2025-46285): un’app malevola poteva ottenere accesso root tramite overflow intero; ora usa timestamp a 64 bit.
– App Store (CVE-2025-46288): accesso non autorizzato a token di pagamento; introdotti controlli permissivi più rigidi.
– FaceTime (CVE-2025-43542): esposizione accidentale di campi password in sessioni remote.
– Messaggi (CVE-2025-46276): divulgazione di dati utente sensibili.
– Foto: visualizzazione di immagini nascoste senza autenticazione.
– Elaborazione immagini: corruzione memoria da file malevoli.
Come aggiornare
Apri Impostazioni > Generali > Aggiornamento software e installa iOS 26.2 (o equivalenti per iPadOS, macOS, watchOS). Dispositivi più vecchi ricevono patch via iOS 18.7.3. Apple raccomanda l’update immediato per tutti.
Novità regionali
– Utenti UE: AirPods Pro con traduzione live in tedesco, inglese e altro; sincronizzazione Wi-Fi tra iPhone e Apple Watch disattivata per conformità al Digital Markets Act.
– Giappone: Siri sostituibile con ChatGPT (non disponibile in Germania).
Miglioramenti al design
Rifinimenti al Liquid Glass di iOS 26, con trasparenza personalizzabile, effetti su schermata di blocco e app. Aggiunte: promemoria migliorati, indice sonno aggiornato, AirDrop potenziato e funzioni podcast.
Approfondimento tecnico
Per utenti esperti, la catena di vulnerabilità WebKit mostra un attacco multi-stadio sofisticato. CVE-2025-43529 sfrutta l’esecuzione JavaScript nel motore di rendering: accesso a memoria liberata post-deallocazione porta a codice arbitrario nel contesto WebKit, pericoloso per contenuti di rete multipli.
CVE-2025-14174 causa corruzione heap o confusione tipi per bypassare mitigazioni come CFI; Apple ha migliorato validazione e gestione stato.
Nel kernel, CVE-2025-46285 usava overflow in calcoli timestamp a 32 bit per escalation privilegi; migrazione a 64 bit previene wraparound. L’update modifica shutdown.log su iOS 26 per sovrascrittura ad ogni riavvio, cancellando tracce di spyware come Pegasus. Fix App Store rafforza validazione entitlement a runtime, migliorando ASLR contro escalations.
Fonte: https://www.macrumors.com/2025/12/12/ios-26-2-security-vulnerabilities/
