Scopri anche

• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• Apple, Siri e Gemini: il retroscena dell'accordo saltato con Anthropic
• Pwn2Own Automotive 2026: Record di 76 Zero-Day Colpiscono la Sicurezza Veicolare
• Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
• Aggiornamento di febbraio 2026 per Windows 11: nuove funzionalità e miglioramenti
• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• Strategie e Investimenti AI 2026: Nvidia, Tesla, Apple e le Tendenze dal CES
• Aggiornamento iPhone: sicurezza iOS 26 e risoluzione errori
• Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• iOS 12.5.8: Apple estende i certificati per iPhone 5s e iPhone 6 oltre il 2027
• Apple conferma attacchi spyware mirati su iPhone: milioni di dispositivi a rischio
• Tesla Infotainment System Hacked: 37 Zero-Day Vulnerabilità Scoperte al Pwn2Own Automotive 2026
• Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Come gestire gli aggiornamenti iOS: procedure per annullare, bloccare e fare downgrade
• Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata

Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit

Apple corregge due vulnerabilità zero-day critiche in WebKit con iOS 26.2

Aggiornamento d'emergenza per milioni di dispositivi

⬆ Torna su Il 12 dicembre Apple ha distribuito iOS 26.2, un aggiornamento classificato come patch urgente per la sicurezza. Questo rilascio interviene su venti vulnerabilità, con particolare focus su due falle zero-day identificate nel motore di rendering WebKit. Le vulnerabilità, già sfruttate attivamente da attori malevoli, esponevano gli utenti di iPhone, iPad e Mac a rischi concreti di compromissione dei dati. L'aggiornamento è stato esteso anche a iPadOS 26.2, macOS Tahoe 26.2 e alle versioni precedenti come iOS 18.7.3.

La natura critica delle vulnerabilità zero-day

⬆ Torna su Le falle zero-day rappresentano una categoria di minacce particolarmente temuta in ambito informatico. Si tratta di difetti software sconosciuti ai produttori fino al momento della scoperta, spesso quando gli attacchi sono già in corso. Apple ha confermato che queste specifiche vulnerabilità sono state impiegate in quelle che l'azienda ha descritto come "attacchi estremamente sofisticati". Sebbene le intrusioni sembrino essere state mirate verso individui specifici, associate all'uso di spyware mercenario, le implicazioni per la sicurezza generale rimangono significative.

Identificatori tecnici e modalità di sfruttamento

⬆ Torna su Le due vulnerabilità sono state catalogate con i codici CVE-2025-43529 e CVE-2025-14174. Entrambe interessano WebKit, il componente che gestisce la visualizzazione dei contenuti web su Safari e su tutte le applicazioni che utilizzano browser integrati nei dispositivi Apple. La CVE-2025-43529 riguarda errori nella gestione della memoria da parte di WebKit. Questo consente a un attaccante di eseguire codice arbitrario sul dispositivo target, potenzialmente prendendo il controllo del sistema, installando spyware o rubando dati sensibili. La modalità di attacco identificata risulta particolarmente insidiosa. L'utente potrebbe compromettere il dispositivo semplicemente visitando un sito web malevolo appositamente predisposto. Non è necessario scaricare file o installare applicazioni sospette: la sola navigazione può essere sufficiente ad attivare l'exploit.

Collaborazione nella scoperta e risposta tecnica

⬆ Torna su La seconda vulnerabilità, CVE-2025-14174, è stata individuata grazie a una collaborazione congiunta tra Apple e il Threat Analysis Group di Google. Anche in questo caso, il problema tecnico risiedeva nella gestione della memoria. Per risolvere entrambe le criticità, Apple ha implementato nei propri sistemi operativi controlli di validazione più rigorosi e una gestione della memoria migliorata. La risposta è stata onnicomprensiva, coprendo l'intero ecosistema dei prodotti Apple con patch per iOS, iPadOS, macOS, tvOS, watchOS e visionOS. Sia Apple che Google hanno scelto di limitare le informazioni tecniche divulgate pubblicamente. Questa strategia mira a impedire che altri attori malevoli possano studiare i dettagli per replicare gli attacchi durante la fase di distribuzione delle patch.

Implicazioni pratiche per la sicurezza degli utenti

⬆ Torna su La criticità delle vulnerabilità è amplificata dal fatto che Apple richiede a tutti i browser su iOS di utilizzare WebKit. Questo significa che anche gli utenti che abitualmente navigano con browser di terze parti come Chrome su iPhone o iPad risultano esposti agli stessi rischi. In scenari di attacco più ampi, tali falle potrebbero essere sfruttate per sottrarre password degli utenti, permettendo l'accesso non autorizzato ad applicazioni sensibili come quelle bancarie. La community di sicurezza sottolinea quindi l'importanza dell'aggiornamento immediato come prima linea di difesa.

Raccomandazioni operative per la protezione

⬆ Torna su La procedura più sicura per gli utenti consiste nell'impostare gli aggiornamenti automatici sui propri dispositivi Apple. Questo approccio garantisce che le patch critiche vengano installate senza necessità di intervento manuale, riducendo drasticamente la finestra di esposizione al rischio. Viene raccomandato a tutti di procedere con l'aggiornamento immediato di tutti i dispositivi in possesso, oltre a prestare attenzione ai contenuti sospetti durante la navigazione web. Poiché gli attacchi zero-day sfruttano proprio il software obsoleto, mantenere i sistemi aggiornati rappresenta la misura di protezione più efficace.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.ilgiornale.it/news/hardware-e-software/apple-e-ios-262-milioni-utenti-rischio-due-gravi-2589470.html
• https://www.ilsoftware.it/apple-e-ios-26-2-patch-urgente-per-due-zero-day/
• https://gizchina.it/2025/12/apple-corregge-due-gravi-vulnerabilita-zero-day/