Apple corregge due gravi vulnerabilità zero-day in iOS 26 sfruttate in attacchi mirati

Apple corregge due gravi vulnerabilità zero-day in iOS 26 sfruttate in attacchi mirati

Apple ha corretto due gravi vulnerabilità zero-day in WebKit, già sfruttate in attacchi mirati e sofisticati. Le falle, risolte con iOS 26.2 e aggiornamenti per tutto l'ecosistema, permettevano l'esecuzione di codice visitando siti malevoli

di pubblicata il , alle 11:09 nel canale Apple
AppleiPhoneiOS
 

Apple ha recentemente rilasciato un aggiornamento di sicurezza critico per correggere due gravi vulnerabilità zero-day presenti in iOS, già sfruttate in attacchi reali e mirati. Le falle sono state risolte con il rilascio di iOS 26.2, insieme a una serie di aggiornamenti paralleli per l'intero ecosistema Apple.

Secondo l'azienda di Cupertino, le vulnerabilità sono state utilizzate in quello che viene definito un "attacco estremamente sofisticato", indirizzato a un numero ristretto di individui, probabilmente tramite spyware.

Una vulnerabilità zero-day è una falla di sicurezza già conosciuta dagli aggressori ma non ancora corretta dagli sviluppatori al momento dello sfruttamento. In questo caso, entrambe le falle interessavano WebKit, il motore del browser utilizzato da Safari e, per obbligo imposto da Apple, da tutti i browser disponibili su iOS, incluso Chrome. Questo significa che un attacco poteva essere attivato semplicemente visitando un sito web malevolo, senza alcuna interazione aggiuntiva da parte dell'utente.

Quali sono le vulnerabilità identificate in iOS 26?

Le due vulnerabilità sono identificate come CVE-2025-43529 e CVE-2025-14174. La prima consentiva l'esecuzione di codice arbitrario, sfruttando una gestione errata della memoria da parte di WebKit. In pratica, un attaccante poteva eseguire comandi sul dispositivo della vittima. La seconda vulnerabilità, scoperta congiuntamente da Apple e dal Threat Analysis Group di Google, era anch'essa legata a problemi di memoria e validazione dei dati.

Apple ha dichiarato di aver risolto entrambe le falle tramite miglioramenti nella gestione della memoria e controlli di sicurezza più rigorosi, evitando però di divulgare dettagli tecnici avanzati per non favorire ulteriori abusi. Gli aggiornamenti sono stati distribuiti su tutte le piattaforme: iOS e iPadOS 26.2, iOS e iPadOS 18.7.3, macOS Tahoe 26.2, watchOS 26.2, tvOS 26.2, visionOS 26.2 e Safari 26.2.

Per proteggersi da questo tipo di minacce, Apple e gli esperti di sicurezza raccomandano di installare gli aggiornamenti non appena disponibili.

I migliori sconti su Amazon oggi

Amazfit Bip 5, 46 mm, Smartwatch, Schermo grande, chiamate Bluetooth, Alexa, GPS, durata della batteria di 10 giorni, fitness tracker con frequenza cardiaca, monitoraggio dell'ossigeno nel sangue

44.38 Compra ora

LEFANT M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

140.33 Compra ora
-17%

Amazfit Active 2 Smart Watch 44mm, AI, Controllo Vocale, GPS e Mappe incluse, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente allAcqua 5 ATM per Android e iPhone, Nero

99.90 82.90 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^