Apple corregge una pericolosa vulnerabilità sui vecchi iPhone: ecco quali modelli aggiornare

Apple ha rilasciato gli aggiornamenti iOS 15.8.5, iOS 16.7.12 e iPadOS 15.8.5 / 16.7.12, portando sui dispositivi più datati le correzioni di sicurezza già distribuite il mese scorso sui modelli più recenti. L'operazione di "backporting" riguarda specificamente la vulnerabilità zero-day CVE-2025-43300, un difetto di sicurezza critico già sfruttato da criminali informatici in campagne mirate.

La vulnerabilità risiede nel framework Image I/O, il componente software responsabile della lettura e scrittura dei formati di file immagine sui dispositivi Apple. Il difetto, classificato come "out-of-bounds write", permette agli aggressori di manipolare il processamento delle immagini per provocare la scrittura di dati al di fuori dei buffer di memoria allocati.

Apple porta le ultime patch di sicurezza anche su iPhone vecchissimi

Le conseguenze tecniche di tale malfunzionamento possono essere gravi: dalla corruzione dei dati all'esecuzione di codice arbitrario da remoto, passando per arresti anomali del sistema. Apple ha risolto il problema implementando controlli dei limiti più rigorosi, una misura che impedisce al software di scrivere oltre i confini della memoria assegnata.

L'elenco dei dispositivi interessati dalla correzione comprende generazioni di prodotti Apple vecchie e ormai obsolete: tra i modelli iPhone coinvolti figurano iPhone 6s in tutte le varianti, le serie iPhone 7 e iPhone 8, iPhone SE di prima generazione e iPhone X. Per quanto riguarda i tablet, la patch riguarda iPad Air 2, iPad mini di quarta generazione, iPad di quinta generazione, iPad Pro da 9,7 pollici e da 12,9 pollici di prima generazione, oltre all'iPod touch di settima generazione.

L'azienda di Cupertino aveva già distribuito le correzioni per i dispositivi più recenti lo scorso 20 agosto, con gli aggiornamenti iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10 e le versioni di macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8.

La CVE-2025-43300 non ha operato da sola nelle campagne di attacco documentate: WhatsApp ha confermato che la vulnerabilità Apple è stata concatenata con una propria falla zero-click, identificata come CVE-2025-55177, per creare catene di sfruttamento particolarmente efficaci. Gli attacchi, definiti "estremamente sofisticati", hanno preso di mira individui specifici attraverso tecniche avanzate di spyware. La portata del problema ha coinvolto anche Samsung, che ha rilasciato patch per correggere una vulnerabilità di esecuzione di codice remoto concatenata con il difetto di WhatsApp sui propri dispositivi Android.

CVE-2025-43300 è la sesta vulnerabilità zero-day corretta da Apple nel corso del 2025. L'elenco completo include CVE-2025-24085 scoperta a gennaio, CVE-2025-24200 individuata a febbraio, CVE-2025-24201 identificata a marzo, e la coppia CVE-2025-31200 e CVE-2025-31201 risolte ad aprile.