Apple ha rilasciato aggiornamenti di sicurezza di emergenza per correggere due vulnerabilità zero-day che gli aggressori hanno sfruttato attivamente in attacchi altamente mirati.
La società ha descritto l’attività come un “attacco estremamente sofisticato” rivolto a individui specifici. Sebbene Apple non abbia identificato gli aggressori o le vittime, la portata limitata suggerisce fortemente operazioni in stile spyware piuttosto che una diffusa criminalità informatica.
Entrambi i difetti colpiscono WebKit, il motore del browser dietro Safari e tutti i browser su iOS. Di conseguenza, il rischio è significativo. In alcuni casi, la semplice visita di una pagina Web dannosa può essere sufficiente per attivare un attacco.
Di seguito, analizziamo il significato di queste vulnerabilità e spieghiamo come puoi proteggerti meglio.
Cosa dice Apple sulle vulnerabilità zero-day
Le due vulnerabilità vengono tracciate come CVE-2025-43529 e CVE-2025-14174 e Apple ha confermato che entrambe sono state sfruttate negli stessi attacchi nel mondo reale.
Secondo il bollettino sulla sicurezza di Apple, le falle sono state sfruttate nelle versioni di iOS rilasciate prima di iOS 26 e gli attacchi erano limitati a “individui specifici presi di mira”.
CVE-2025-43529 è una vulnerabilità use-after-free di WebKit che può portare all’esecuzione di codice arbitrario quando un dispositivo elabora contenuti Web dannosi. In parole povere, consente agli aggressori di eseguire il proprio codice su un dispositivo inducendo il browser a gestire in modo errato la memoria.
Apple ha attribuito al Threat Analysis Group di Google il merito di aver scoperto questa falla, che spesso è un forte indicatore di attività spyware commerciale o nazionale.
Anche il secondo difetto, CVE-2025-14174, è un problema di WebKit, questa volta riguardante la corruzione della memoria
Sebbene Apple descriva l’impatto come corruzione della memoria piuttosto che esecuzione diretta del codice, questi tipi di bug sono spesso concatenati insieme ad altre vulnerabilità per compromettere completamente un dispositivo.
Apple afferma che questo problema è stato scoperto congiuntamente da Apple e dal Threat Analysis Group di Google.
In entrambi i casi, Apple ha riconosciuto di essere a conoscenza di rapporti che confermavano lo sfruttamento attivo in natura.
Questo linguaggio è importante perché Apple in genere lo riserva a situazioni in cui si sono già verificati attacchi, non solo a rischi teorici.
L’azienda afferma di aver risolto i bug attraverso una migliore gestione della memoria e migliori controlli di convalida, senza condividere dettagli tecnici più profondi che potrebbero aiutare gli aggressori a replicare gli exploit.
Dispositivi interessati e segnali di divulgazione coordinata
Apple ha rilasciato patch sui suoi sistemi operativi supportati, incluse le ultime versioni di iOS, iPadOS, macOS, Safari, watchOS, tvOS e visionOS.
Secondo l’avviso di Apple, i dispositivi interessati includono iPhone 11 e modelli più recenti, diverse generazioni di iPad Pro, iPad Air dalla terza generazione in poi, iPad di ottava generazione e successivi e iPad mini a partire dalla quinta generazione.
Ciò copre la stragrande maggioranza degli iPhone e iPad ancora in uso attivo oggi.
Apple ha corretto i difetti in tutto il suo ecosistema. Le correzioni sono disponibili in iOS 26.2 e iPadOS 26.2, iOS 18.7.3 e iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 e Safari 26.2. Poiché Apple richiede che tutti i browser iOS utilizzino WebKit dietro le quinte, lo stesso problema di fondo ha interessato anche Chrome su iOS.
6 passaggi che puoi eseguire per proteggerti da tali vulnerabilità
Ecco sei passaggi pratici che puoi intraprendere per rimanere al sicuro, soprattutto alla luce di attacchi zero-day altamente mirati come questo.
1) Installa gli aggiornamenti non appena vengono rilasciati
Sembra ovvio, ma conta più di ogni altra cosa. Gli attacchi zero-day si basano su persone che utilizzano software obsoleti.
Se Apple invia un aggiornamento di emergenza, installalo lo stesso giorno, se puoi. Ritardare gli aggiornamenti è spesso l’unica cosa di cui hanno bisogno gli aggressori. Se tendi a dimenticare gli aggiornamenti, lascia che siano i tuoi dispositivi a gestirli per te. Abilita gli aggiornamenti automatici per iOS, iPadOS, macOS e Safari. In questo modo sei protetto anche se ti perdi le notizie o sei in viaggio.
2) Fai attenzione ai link, anche di persone che conosci
La maggior parte degli exploit WebKit iniziano con contenuti Web dannosi. Evita di toccare collegamenti casuali inviati tramite SMS, WhatsApp, Telegram o e-mail a meno che non te li aspetti. Se qualcosa non va, apri il sito più tardi digitando tu stesso l’indirizzo.
Il modo migliore per proteggerti da collegamenti dannosi che installano malware, accedendo potenzialmente alle tue informazioni private, è avere un software antivirus installato su tutti i tuoi dispositivi.
Questa protezione può anche avvisarti di e-mail di phishing e truffe ransomware, mantenendo al sicuro le tue informazioni personali e le tue risorse digitali.
3) Utilizzare una configurazione di navigazione in stile blocco
Se sei un giornalista, un attivista o qualcuno che si occupa di informazioni sensibili, valuta la possibilità di ridurre la tua superficie di attacco.
Utilizza solo Safari, evita estensioni del browser non necessarie e limita la frequenza con cui apri i collegamenti all’interno delle app di messaggistica.
4) Attiva la modalità di blocco se ti senti a rischio
La modalità Lockdown di Apple è progettata specificamente per attacchi mirati. Limita determinate tecnologie Web, blocca la maggior parte degli allegati ai messaggi e limita i vettori di attacco comunemente utilizzati dallo spyware. Non è per tutti, ma esiste per situazioni come questa.
5) Ridurre i dati personali esposti
Gli attacchi mirati spesso iniziano con la profilazione. Più dati personali su di te circolano online, più facile sarà sceglierti come bersaglio. La rimozione dei dati dai siti dei broker e il rafforzamento delle impostazioni sulla privacy dei social media possono ridurre la tua visibilità.
Sebbene nessun servizio possa garantire la rimozione completa dei tuoi dati da Internet, un servizio di rimozione dati è davvero una scelta intelligente. Non sono economici e nemmeno la tua privacy.
Questi servizi fanno tutto il lavoro per te monitorando attivamente e cancellando sistematicamente le tue informazioni personali da centinaia di siti web. È ciò che mi dà tranquillità e ha dimostrato di essere il modo più efficace per cancellare i tuoi dati personali da Internet.
Limitando le informazioni disponibili, riduci il rischio che i truffatori incrocino i dati delle violazioni con le informazioni che potrebbero trovare sul dark web, rendendo più difficile per loro prenderti di mira.
6) Prestare attenzione al comportamento insolito del dispositivo
A volte possono verificarsi arresti anomali imprevisti, surriscaldamento, consumo improvviso della batteria o chiusura automatica di Safari segnali di pericolo. Ciò non significa automaticamente che il tuo dispositivo sia compromesso. Tuttavia, se qualcosa sembra costantemente sbagliato, aggiornare immediatamente e ripristinare il dispositivo è una mossa intelligente.
Il punto chiave di Kurt
Apple non ha condiviso dettagli su chi è stato preso di mira o su come sono stati sferrati gli attacchi. Tuttavia, il modello si adatta perfettamente alle precedenti campagne spyware incentrate su giornalisti, attivisti, personaggi politici e altri soggetti di interesse per gli operatori di sorveglianza.
Con queste patch, Apple ha ora risolto sette vulnerabilità zero-day che sono state sfruttate in modo selvaggio solo nel 2025.
Ciò include i difetti rivelati all’inizio di quest’anno e una correzione backport a settembre per i dispositivi più vecchi.
