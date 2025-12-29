Apple ha recentemente rilasciato una serie di aggiornamenti di emergenza per colmare due pericolose falle di sicurezza “zero-day”, vulnerabilità che erano già note e attivamente sfruttate da attori malevoli prima che gli ingegneri di Cupertino potessero intervenire.

Apple corregge due vulnerabilità “zero-day”, aggiorna subito il tuo iPhone

Crediti: Canva

Le vulnerabilità in questione non sono teoriche, Apple ha confermato che sono state utilizzate in quello che l’azienda ha descritto come un “attacco estremamente sofisticato“.

Sebbene queste intrusioni sembrino essere state mirate in modo chirurgico verso individui specifici, associandole all’uso di spyware mercenario, le implicazioni per la sicurezza generale non vanno sottovalutate.

In uno scenario di attacco più ampio, tali falle potrebbero essere sfruttate per sottrarre le password degli utenti, permettendo ai criminali informatici di accedere ad applicazioni sensibili, come quelle bancarie, e di compiere furti finanziari.

Il concetto stesso di vulnerabilità “zero-day” è ciò che rende questa situazione particolarmente critica: si tratta di difetti del software noti a molti nel dark web, tranne che a coloro che hanno la responsabilità di correggerli. Questo vantaggio temporale permette agli attaccanti di colpire vittime ignare che, fino al rilascio della patch, non hanno alcuna difesa software disponibile.

WebKit sotto assedio

Entrambe le falle identificate colpiscono WebKit, il motore di rendering del browser che alimenta Safari su iOS e, per direttiva di Apple, tutti gli altri browser che operano su iPhone e iPad, incluso Google Chrome.

La natura di questo difetto rende l’attacco particolarmente insidioso: un utente iPhone potrebbe trovarsi in pericolo semplicemente visitando un sito web malevolo appositamente confezionato. Non è necessario scaricare file o installare app sospette; la sola navigazione può essere sufficiente a innescare l’attacco.

Le due vulnerabilità sono state catalogate con i codici CVE-2025-43529 e CVE-2025-14174. Nello specifico, la falla CVE-2025-43529 consente agli aggressori di eseguire codice arbitrario o comandi sul dispositivo della vittima. Questo avviene ingannando il browser nella gestione della memoria, un errore tecnico che apre le porte al controllo esterno del dispositivo.

La seconda criticità, la CVE-2025-14174, è stata scoperta grazie a una collaborazione congiunta tra Apple e il Threat Analysis Group di Google. Anche in questo caso, il problema risiedeva nella gestione della memoria.

Per risolvere entrambe le questioni, Apple ha implementato controlli di validazione più rigorosi e una gestione della memoria migliorata. È interessante notare come sia Apple che Google abbiano scelto di limitare le informazioni tecniche divulgate alla stampa, una strategia volta a impedire che altri criminali informatici possano studiare i dettagli per replicare gli attacchi prima che la maggior parte degli utenti abbia aggiornato i propri dispositivi.

L’ecosistema Apple si aggiorna: le versioni da installare

La risposta di Apple è stata onnicomprensiva, coprendo l’intero ecosistema dei suoi prodotti per chiudere queste falle ovunque si presentino. Le patch di sicurezza sono state distribuite attraverso i nuovi aggiornamenti dei sistemi operativi, portando le versioni a iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2 e visionOS 26.2.

Anche per le versioni precedenti sono stati rilasciati aggiornamenti, come iOS 18.7.3. Poiché Apple richiede che tutti i browser su iOS utilizzino WebKit, è fondamentale comprendere che anche chi utilizza abitualmente browser di terze parti come Chrome non è immune e deve procedere all’aggiornamento del sistema operativo principale.

La procedura più sicura è quella di impostare il proprio iPhone sugli aggiornamenti automatici. Questo garantisce che, non appena una patch critica viene rilasciata, il dispositivo la installi senza necessità di intervento manuale, riducendo drasticamente la finestra di esposizione al rischio.

Poiché gli attacchi zero-day fanno affidamento proprio sul fatto che la vittima utilizzi software obsoleto, l’aggiornamento immediato è la prima linea di difesa.