CVE-2025-43300: Vulnerabilità nel framework di gestione delle immagini
Apple ha rilasciato aggiornamenti software urgenti per iPhone, iPads, e Mac dopo aver identificato un falla di sicurezza zero-day che era già sfruttato. Il problema, catalogato come CVE-2025-43300, esiste nel framework ImageIO e può causare corruzione della memoria quando vengono elaborate immagini appositamente create.
Segnalato sfruttamento attivo
La società ha confermato che gli aggressori hanno sfruttato la falla in campagne altamente sofisticate rivolte a un gruppo limitato di individui. Apple ha spiegato che il bug è stato scoperto internamente e ora è stato corretto rafforzando il controllo dei limiti nel codice interessato.
Dispositivi e versioni software aggiornati
La correzione di sicurezza è inclusa nelle ultime versioni del sistema operativo, che variano a seconda del dispositivo:
- iOS 18.6.2 e iPadOS 18.6.2: Disponibile per iPhone XS e successivi, iPad Pro 13 pollici, iPad Pro 12,9 pollici (3terza generazione e superiori), iPad Pro 11 pollici (1prima generazione e oltre), iPad Air (3terza generazione e superiori), iPad (7generazione e successive), e iPad mini (5generazione e successive).
- iPadOS 17.7.10: Per iPad Pro da 12,9 pollici (2seconda generazione), iPad Pro da 10,5 pollici, e iPad (6th generazione).
- Mac OS Ventura 13.7.8: Per Mac con Ventura.
- macOS Sonoma 14.7.8: Per Mac con Sonoma.
- macOS Sequoia 15.6.1: Per Mac con Sequoia.
Attacchi ancora sotto inchiesta
Sebbene Apple non abbia rivelato l'origine degli attacchi o l'identità delle persone prese di mira, la natura dello sfruttamento suggerisce che la vulnerabilità è stata sfruttata come arma per intrusioni attentamente mirate. I ricercatori di sicurezza notano che questo tipo di difetto può essere particolarmente pericoloso perché le immagini dannose possono essere distribuite tramite app o siti Web comuni.
Con questa versione, Apple ha ora risolto sette vulnerabilità zero-day in 2025, seguendo le patch precedenti per CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, e CVE-2025-43200.
Nel mese di luglio, l'azienda ha anche risolto un bug di Safari (CVE-2025-6558) che derivava da un componente open source. Quel problema era stato scoperto dai ricercatori di Google ed era già stato sfruttato in Chrome prima che la patch venisse rilasciata.
Apple consiglia a tutti gli utenti di installare senza indugio gli ultimi aggiornamenti disponibili. L'applicazione tempestiva delle patch di sicurezza è una delle difese più affidabili contro lo sfruttamento, soprattutto quando gli aggressori stanno già abusando delle vulnerabilità in natura.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: