Scopri anche

• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• Apple rilascia iOS 26.3 per chiudere vulnerabilità zero-day già sfruttata in attacchi mirati
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• Strategie e Investimenti AI 2026: Nvidia, Tesla, Apple e le Tendenze dal CES
• Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• iOS 12.5.8: Apple estende i certificati per iPhone 5s e iPhone 6 oltre il 2027
• Vulnerabilità di sicurezza in Google Gemini: l'analisi tecnica degli attacchi via Calendar
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Google Chrome si rinnova con l'integrazione di Gemini: il browser diventa assistente AI
• Apple AirBorne: vulnerabilità zero-click in AirPlay mette a rischio milioni di dispositivi
• Vulnerabilità WhisperPair: il rischio critico per milioni di auricolari Bluetooth
• Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
• Apple Sceglie Google Gemini per il Nuovo Siri: Analisi della Partnership
• Apple conferma attacchi spyware mirati su iPhone: milioni di dispositivi a rischio
• Samsung rilascia aggiornamento sicurezza per Galaxy S10, S20 e S21 nel 2026
• Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno

Apple corregge vulnerabilità zero-day critiche: aggiornamenti urgenti per iOS, macOS e altri sistemi

Apple corregge vulnerabilità zero-day critiche: aggiornamenti urgenti per iOS, macOS e altri sistemi

Apple ha rilasciato aggiornamenti di sicurezza per tutti i suoi sistemi operativi, tra cui iOS, iPadOS, macOS, tvOS, watchOS e visionOS. Le patch correggono vulnerabilità zero-day già sfruttate da aggressori per colpire utenti specifici. La documentazione indica che le falle individuate permettevano l'esecuzione di codice arbitrario sui dispositivi compromessi, con conseguenti rischi di furto di dati e installazione di malware.

La vulnerabilità CVE-2026-20700 nel dyld

⬆ Torna su

La vulnerabilità identificata come CVE-2026-20700 risiede nel dyld, il Dynamic Link Editor, componente software responsabile del caricamento dinamico delle librerie condivise su tutti i sistemi operativi Apple. Secondo il bollettino di sicurezza pubblicato dall'azienda, un attaccante con capacità di scrittura in memoria potrebbe sfruttare questa falla per eseguire codice arbitrario sui dispositivi compromessi, ottenendo potenzialmente il controllo completo del sistema.

La vulnerabilità è stata scoperta dal Threat Analysis Group di Google. Apple ha confermato che la falla è stata sfruttata in quello che l'azienda definisce un "attacco estremamente sofisticato" contro individui specifici. CVE-2026-20700 rappresenta il primo zero-day corretto da Apple nel 2026.

La documentazione specifica che questa vulnerabilità è stata utilizzata in combinazione con altre due falle corrette da Apple nel dicembre precedente: CVE-2025-14174 e CVE-2025-43529. Tutte e tre le vulnerabilità sono state impiegate negli stessi incidenti di sicurezza, configurando una catena di exploit multipla caratteristica di attacchi mirati di alto profilo, probabilmente sponsorizzati da attori statali o gruppi APT (Advanced Persistent Threat).

La vulnerabilità CVE-2025-43300 nel framework ImageIO

⬆ Torna su

Una seconda vulnerabilità critica, tracciata con il codice CVE-2025-43300, risiede nel framework ImageIO, componente dedicato alla gestione e all'elaborazione delle immagini interno al sistema. La falla riguarda un out-of-bounds write, ovvero una scrittura fuori dai limiti di memoria assegnata. Un file immagine manipolato ad arte può corrompere la memoria del sistema, permettendo agli attaccanti l'esecuzione di codice arbitrario sul dispositivo della vittima.

Secondo quanto dichiarato da Apple, la vulnerabilità è stata già sfruttata attivamente in attacchi altamente mirati. Il framework ImageIO è coinvolto nella gestione delle anteprime di immagini in Mail, Messaggi, browser e applicazioni di terze parti, amplificando la superficie d'attacco potenziale.

Il consulente informatico forense Paolo Dal Checco ha commentato in un post su LinkedIn che "bastava ricevere e aprire un'immagine per attivare l'exploit". Apple ha corretto la vulnerabilità mediante un lavoro di bounds checking per ridurre la superficie d'attacco.

La vulnerabilità CVE-2025-24200 e la Modalità USB con restrizioni

⬆ Torna su

Un'ulteriore vulnerabilità, identificata come CVE-2025-24200, avrebbe potuto consentire a un attaccante di disabilitare la "Modalità USB con restrizioni" su un dispositivo bloccato. Questa funzione di sicurezza, introdotta con iOS 11.4.1, protegge i dispositivi dall'accesso non autorizzato tramite la porta Lightning disabilitando automaticamente il trasferimento dati dopo un determinato intervallo di tempo.

L'esistenza della vulnerabilità è stata segnalata da Bill Marczak del Citizen Lab dell'Università di Toronto, noto per le ricerche sulle minacce informatiche legate agli spyware commerciali. Apple ha corretto la falla migliorando la gestione dello stato del dispositivo.

Dispositivi interessati e aggiornamenti disponibili

⬆ Torna su

L'elenco dei dispositivi vulnerabili è esteso. Per la vulnerabilità CVE-2026-20700 sono coinvolti iPhone 11 e successivi, iPad Pro da 12,9 pollici dalla terza generazione in poi, iPad Pro da 11 pollici dalla prima generazione, iPad Air dalla terza generazione, iPad dall'ottava generazione e iPad mini dalla quinta generazione. Tutti i Mac che eseguono macOS Tahoe risultano esposti.

Per la vulnerabilità CVE-2025-43300 sono interessati tutti i modelli iPhone da iPhone XS in avanti, iPad Pro da 10,5 pollici e oltre, iPad Air dalla terza generazione in poi, iPad mini di quinta generazione e superiori, oltre a tutti i modelli standard dal settimo in poi. Anche i Mac con macOS Sequoia, Sonoma e Ventura sono coinvolti.

Apple ha distribuito le patch correttive attraverso gli aggiornamenti iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 e visionOS 26.3. Sono inoltre disponibili iOS 18.7.5, iPadOS 18.7.5, iOS 18.6.2, iPadOS 18.6.2, macOS Sequoia 15.6.1, iPadOS 17.7.10, macOS Sonoma 14.7.8 e macOS Ventura 13.7.8. Per la CVE-2025-24200 è stato rilasciato iOS 18.3.1 e iOS 17.7.5 per modelli più vecchi.

Il contesto degli attacchi zero-click

⬆ Torna su

Gli attacchi zero-click non richiedono alcuna azione da parte della vittima. Possono avere conseguenze devastanti senza che l'utente si accorga di nulla. Spesso prendono di mira le applicazioni che forniscono servizi di messaggistica o chiamate vocali, progettate per ricevere e interpretare dati da fonti non attendibili. Gli autori degli attacchi utilizzano dati appositamente creati, come un file immagine o un messaggio di testo nascosto, per inoculare codice in grado di compromettere il dispositivo.

La ridotta interazione implica la presenza di meno tracce di attività dannosa, rendendo il rilevamento estremamente difficile. Le vulnerabilità sfruttabili per gli attacchi zero-click sono particolarmente apprezzate dagli aggressori proprio per la loro rarità e capacità di non lasciare tracce.

Nel 2021, un attivista per i diritti umani del Bahrein ha subito un attacco hacker del proprio iPhone tramite una vulnerabilità precedentemente sconosciuta in iMessage, sfruttata per inoculare lo spyware Pegasus sviluppato dalla società israeliana NSO Group. L'attacco ha eluso BlastDoor, funzionalità di sicurezza integrata in iOS 14, ed è stato soprannominato ForcedEntry.

Nel settembre 2023, il Citizen Lab aveva segnalato un'altra minaccia denominata BLASTPASS, una concatenazione di due vulnerabilità (CVE-2023-41064 e CVE-2023-41061) sfruttata per infettare dispositivi con Pegasus tramite allegati PassKit contenenti immagini malevole inviate tramite iMessage.

Il fenomeno degli spyware commerciali

⬆ Torna su

La scoperta di vulnerabilità sfruttate in attacchi mirati suggerisce un legame con la distribuzione di spyware commerciali. Il Citizen Lab, laboratorio che si occupa del controllo di Internet con sede presso l'Università di Toronto, ha documentato l'uso di strumenti come Karma, utilizzato per sfruttare falle in iMessage e attaccare iPhone di attivisti, diplomatici e leader esteri.

Nel 2018, il principe ereditario Mohammed bin Salman dell'Arabia Saudita avrebbe inviato al CEO di Amazon Jeff Bezos un messaggio WhatsApp con un video contenente codice che ha permesso di estrarre informazioni dall'iPhone per diversi mesi. Un exploit zero-day aveva consentito di caricare spyware nei dati scambiati tramite una chiamata persa su WhatsApp.

Le agenzie di intelligence di tutto il mondo utilizzano attacchi zero-click per intercettare messaggi e monitorare la posizione di sospetti criminali e terroristi. L'uso non autorizzato di software spia può essere impiegato per reprimere il dissenso, censurare informazioni e intimidire cittadini.

Le misure di protezione

⬆ Torna su

Apple raccomanda di installare immediatamente gli aggiornamenti disponibili. Su iPhone, iPad e Mac i nuovi update risultano disponibili mediante il meccanismo standard di Aggiornamento software nell'app Impostazioni. Su Android, gli aggiornamenti sono disponibili nella sezione Aggiornamenti di sistema nell'app Impostazioni.

Per ridurre il rischio di attacchi che sfruttano immagini, è possibile disabilitare l'anteprima delle immagini sulle app di messaggistica anche su dispositivi Android. Le strategie di igiene informatica di base aiutano a massimizzare la sicurezza online, sebbene gli attacchi zero-click tendano a essere mirati a vittime specifiche per scopi di spionaggio o guadagni economici.

Apple ha introdotto misure di sicurezza aggiuntive come l'inactivity reboot, che riavvia automaticamente gli iPhone dopo lunghi periodi di inattività per rendere più difficile l'estrazione mediante strumenti forensi. Con l'arrivo di iOS 26 e macOS Tahoe, l'azienda continua a distribuire aggiornamenti anche per versioni più datate del sistema operativo, tra cui iPadOS 17 e macOS 13 e 14.

Con queste correzioni, il numero di zero-day scoperti e corretti da Apple nel 2025 è salito a sei. L'ondata di attacchi sofisticati che prende di mira l'ecosistema Apple si fa più aggressiva, e le patch di sicurezza diventano una costante mensile.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concatenazione di vulnerabilità corrette in tempi diversi suggerisce un approccio strutturato da parte degli aggressori. La correzione di CVE-2026-20700 in combinazione con falle precedenti indica una strategia di attacco persistente.

• Scenario 1: nuovi exploit potrebbero emergere sfruttando componenti simili a dyld e ImageIO, dato che entrambi gestiscono dati esterni in modo dinamico.
• Scenario 2: attori legati a spyware commerciali potrebbero aver mantenuto accesso a dispositivi compromessi tramite catene di exploit alternative.
• Scenario 3: la Modalità USB con restrizioni potrebbe diventare bersaglio prioritario per aggirare protezioni fisiche su dispositivi bloccati.

Cosa monitorare

⬆ Torna su

• Eventuali segnalazioni di Citizen Lab o ricercatori indipendenti su nuove campagne mirate.
• Tempi di adozione delle patch da parte degli utenti ad alto rischio.
• Aggiornamenti successivi che potrebbero indicare vulnerabilità residue correlate.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.zazoom.it/2026-02-12/gli-aggiornamenti-agli-os-26-3-correggono-una-falla-di-sicurezza-pericolosissima/18638168/
• https://www.tomshw.it/smartphone/apple-corregge-zero-day-per-attacchi-sofisticati-2026-02-12
• https://www.macitynet.it/gli-update-agli-os-23-correggono-una-vulnerabilita-estremamente-ricercata
• https://www.kaspersky.it/resource-center/definitions/what-is-zero-click-malware
• https://www.cybersecurity360.it/news/vulnerabilita-in-apple-ios-basta-unimmagine-per-sferrare-attacchi-mirati-la-patch-e-urgente/
• https://gomoot.com/apple-chiude-falla-zero-day-con-update-urgente-ios-18-6-2/
• https://www.repubblica.it/tecnologia/blog/lettere/2025/02/11/news/nuova_falla_nei_dispositivi_apple_ecco_perche_aggiornare_subito_iphone_e_ipad-423995316/