Apple ha rilasciato un importante aggiornamento di sicurezza per correggere un bug scoperto di recente vulnerabilità zero-day che sarebbe stato sfruttato in “estremamente sofisticato” attacchi informatici. Il difetto, identificato come CVE-2025-24201, colpisce il Motore del browser WebKit e potrebbe consentire agli aggressori di eseguire codice arbitrario creando contenuti web dannosi.
CVE-2025-24201 in dettaglio
La vulnerabilità è descritta come un problema di scrittura fuori dai limiti, il che significa che un aggressore potrebbe sfruttare questa falla per uscire dalla sandbox dei contenuti Web nei dispositivi Apple. Questo tipo di violazione della sicurezza consente ai contenuti Web dannosi di eseguire azioni non autorizzate, potenzialmente compromettendo i dati dell'utente e l'integrità del sistema.
Apple ha confermato di aver risolto il problema migliorando i controlli di sicurezza, assicurandosi che azioni non autorizzate non possano più verificarsi. Questa correzione è anche indicata come patch supplementare per un attacco che era stato originariamente mitigato in iOS 17.2.
Sfruttamento attivo in attacchi mirati sofisticati
Uno degli aspetti più preoccupanti di questa vulnerabilità è che Apple ha riconosciuto il suo sfruttamento attivo in attacchi altamente sofisticati che prendono di mira individui specifici. Tuttavia, la società non ha divulgato dettagli riguardanti le origini dell'attacco, la base di utenti interessata, o la durata dello sfruttamento. Non è ancora chiaro se la vulnerabilità sia stata scoperta internamente dal team di sicurezza di Apple o segnalata da un ricercatore esterno..
Dispositivi interessati e versioni software
Apple ha distribuito patch per un'ampia gamma di dispositivi e versioni software. I sistemi interessati e patchati includono:
- iOS 18.3.2 & iPadOS 18.3.2
- iPhone XS e successivi
- iPad Pro 13 pollici, iPad Pro 12,9 pollici (3terza generazione e successive)
- iPad Pro 11 pollici (1prima generazione e successive)
- iPad Air (3terza generazione e successive)
- iPad (7generazione e successive)
- Ipad mini (5generazione e successive)
- macOS Sequoia 15.3.2
- Mac con macOS Sequoia
- Safari 18.3.1
- Mac con macOS Ventura e macOS Sonoma
- VisioneOS 2.3.2
- Apple Vision Pro
I precedenti di Apple in 2025 Correzioni Zero-Day
Con questo ultimo aggiornamento di sicurezza, Apple ha ora corretto un totale di tre vulnerabilità zero-day attivamente sfruttate in 2025 da solo. Le altre due vulnerabilità, CVE-2025-24085 e CVE-2025-24200, sono state affrontate anche in precedenti aggiornamenti di sicurezza.
Queste ripetute correzioni zero-day evidenziano la crescente sofisticatezza delle minacce informatiche che prendono di mira l'ecosistema Apple, rafforzando la necessità per gli utenti di rimanere aggiornati con le patch di sicurezza.
Cosa dovrebbero fare gli utenti?
Si consiglia vivamente agli utenti Apple di aggiornare immediatamente i propri dispositivi per garantire che siano protetti da potenziali exploit. Aggiornare:
iPhone & iPad: Vai su Impostazioni > Generali > Aggiornamento software, quindi installa l'ultimo aggiornamento iOS/iPadOS.
Mac: Apri Impostazioni di sistema > Generali > Aggiornamento software e applica l'aggiornamento macOS.
Safari: Gli utenti Mac su Ventura o Sonoma dovrebbero aggiornare Safari tramite Impostazioni di sistema > Aggiornamento software.
Apple Vision Pro: Aggiorna visionOS tramite Impostazioni > Generali > Aggiornamento software.
L'ultimo aggiornamento di sicurezza di Apple dimostra le sfide in corso contro i sofisticati exploit zero-day. Mentre Apple ha risposto rapidamente per mitigare la minaccia, la mancanza di trasparenza riguardo agli aggressori e la portata dell'impatto ha sollevato preoccupazioni.