Apple rilascia aggiornamenti di sicurezza urgenti per una vulnerabilità zero-day di WebKit
Apple ha recentemente rilasciato aggiornamenti di sicurezza urgenti per correggere una vulnerabilità zero-day critica che è stata sfruttata in attacchi “estremamente sofisticati” contro dispositivi iOS, iPadOS e macOS. La falla, identificata come CVE-2025-24200, riguarda il motore di rendering WebKit utilizzato da Safari e altre applicazioni che visualizzano contenuti web su dispositivi Apple.
Dettagli sulla vulnerabilità
La vulnerabilità CVE-2025-24200 è stata descritta da Apple come un problema di corruzione della memoria in WebKit che potrebbe portare all’esecuzione di codice arbitrario quando l’utente visita una pagina web appositamente creata. Ciò significa che un attaccante potrebbe potenzialmente eseguire codice malevolo sul dispositivo della vittima semplicemente facendogli visitare un sito web infetto.
Apple ha dichiarato di essere a conoscenza di rapporti secondo cui questa vulnerabilità “potrebbe essere stata sfruttata attivamente” in natura. Questo suggerisce che la falla è stata utilizzata in attacchi mirati prima che venisse scoperta e corretta.
Dispositivi interessati
Gli aggiornamenti di sicurezza sono stati rilasciati per i seguenti sistemi operativi e dispositivi:
- iOS 18.3.1 e iPadOS 18.3.1: iPhone XS e successivi, iPad Pro 13 pollici, iPad Pro 12,9 pollici di terza generazione e successivi, iPad Pro 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di settima generazione e successivi, iPad mini di quinta generazione e successivi
- macOS Sequoia 15.3
- watchOS 11.3
- tvOS 18.3
Importanza dell’aggiornamento
Data la natura critica di questa vulnerabilità e il fatto che sia stata sfruttata attivamente, è fortemente consigliato a tutti gli utenti di dispositivi Apple di installare immediatamente gli aggiornamenti di sicurezza disponibili. Questo è particolarmente importante per gli utenti che potrebbero essere obiettivi di attacchi mirati, come giornalisti, attivisti, politici dell’opposizione e dissidenti.
Come aggiornare i dispositivi
Per installare gli aggiornamenti di sicurezza:
- Su iPhone e iPad:
- Vai su Impostazioni > Generali > Aggiornamento software
- Tocca “Scarica e installa” se è disponibile un aggiornamento
- Su Mac:
- Apri il menu Apple > Preferenze di Sistema
- Clicca su “Aggiornamento software”
- Installa eventuali aggiornamenti disponibili
- Su Apple Watch:
- Apri l’app Watch sul tuo iPhone
- Vai su Generali > Aggiornamento software
- Scarica e installa l’aggiornamento se disponibile
- Su Apple TV:
- Vai su Impostazioni > Sistema > Aggiornamenti software
- Seleziona “Aggiorna software” se disponibile
Contesto e implicazioni
Questa non è la prima volta che Apple deve affrontare vulnerabilità zero-day critiche nei suoi sistemi. Negli ultimi anni, l’azienda ha dovuto rilasciare numerosi aggiornamenti di sicurezza urgenti per correggere falle sfruttate attivamente.
Il fatto che questa vulnerabilità sia stata descritta come utilizzata in attacchi “estremamente sofisticati” suggerisce che potrebbe essere stata sfruttata da attori delle minacce avanzati, possibilmente gruppi sponsorizzati da stati o aziende di spyware commerciale come NSO Group.
Le vulnerabilità zero-day in WebKit sono particolarmente preoccupanti perché possono potenzialmente colpire un’ampia gamma di applicazioni su dispositivi Apple, non solo Safari. Molte app di terze parti utilizzano WebKit per visualizzare contenuti web, il che amplia la superficie di attacco.
Consigli per la sicurezza
Oltre ad installare immediatamente gli aggiornamenti di sicurezza, ecco alcuni consigli aggiuntivi per proteggere i propri dispositivi Apple:
- Abilita gli aggiornamenti automatici: Questo garantirà che il tuo dispositivo riceva le patch di sicurezza il più rapidamente possibile in futuro.
- Usa una VPN affidabile: Questo può aiutare a proteggere il tuo traffico web da intercettazioni e attacchi man-in-the-middle.
- Fai attenzione ai link sospetti: Evita di cliccare su link provenienti da fonti sconosciute o non attendibili, specialmente in email o messaggi.
- Mantieni le app aggiornate: Assicurati che tutte le tue app siano aggiornate all’ultima versione, poiché potrebbero contenere correzioni di sicurezza importanti.
- Usa l’autenticazione a due fattori: Abilita l’autenticazione a due fattori per il tuo ID Apple e altri account importanti per una sicurezza aggiuntiva.
- Sii cauto con le reti Wi-Fi pubbliche: Evita di accedere a informazioni sensibili quando sei connesso a reti Wi-Fi pubbliche non sicure.
- Utilizza un gestore di password: Usa un gestore di password affidabile per creare e memorizzare password uniche e complesse per tutti i tuoi account.
- Mantieni il tuo dispositivo fisicamente sicuro: Ricorda che molti attacchi sofisticati richiedono l’accesso fisico al dispositivo. Non lasciare mai i tuoi dispositivi incustoditi in luoghi pubblici.
La scoperta e la correzione di questa vulnerabilità zero-day di WebKit sottolinea l’importanza di mantenere sempre aggiornati i propri dispositivi. Anche se Apple è nota per la sicurezza dei suoi prodotti, nessun sistema è immune da vulnerabilità.
Gli utenti devono rimanere vigili e adottare buone pratiche di sicurezza informatica, come quelle elencate sopra. La sicurezza è un processo continuo e richiede attenzione costante sia da parte dei produttori di dispositivi che degli utenti finali.
Infine, questo incidente serve come promemoria del fatto che anche le piattaforme considerate più sicure possono essere vulnerabili ad attacchi sofisticati. È fondamentale mantenere un approccio proattivo alla sicurezza informatica, rimanendo informati sulle ultime minacce e adottando misure preventive per proteggere i propri dispositivi e dati personali.
