Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple

Apple corregge vulnerabilità critiche nel motore di rendering WebKit, interessando iPhone, iPad e altri dispositivi dell'ecosistema.

Contenuto

Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple

Scopri anche

Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple

Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple

In questo articolo:

WebKit è un motore di rendering browser utilizzato principalmente in Safari, il browser web di Apple, oltre che in tutti i browser web su iOS e iPadOS. Il suo utilizzo si estende anche alle console PlayStation a partire dalla PS3, ai sistemi operativi mobili Tizen, al lettore di e-book Amazon Kindle, alle console Nintendo a partire dal browser Internet del 3DS, a GNOME Web e al browser BlackBerry, ora discontinuato. La diffusione di questo componente rende le eventuali vulnerabilità scoperte un problema di sicurezza con impatto su un numero elevato di dispositivi.

Le origini e l'evoluzione del progetto

⬆ Torna su

Il codice che sarebbe diventato WebKit ha avuto inizio nel 1998 come motore di layout KHTML e motore JavaScript KJS del progetto KDE. Il progetto WebKit è stato avviato all'interno di Apple da Lisa Melton il 25 giugno 2001, come fork di KHTML e KJS. Secondo quanto riferito da Melton in una comunicazione via email agli sviluppatori KDE, KHTML e KJS permettevano uno sviluppo più agevole rispetto ad altre tecnologie disponibili, grazie al fatto di essere piccoli (meno di 140.000 righe di codice), con un design pulito e conformi agli standard.

KHTML e KJS sono stati portati su macOS con l'aiuto di una libreria adattatore e rinominati rispettivamente WebCore e JavaScriptCore. Lo scambio di codice tra WebCore e KHTML è diventato progressivamente difficile man mano che le basi di codice divergevano, poiché entrambi i progetti avevano approcci differenti nella codifica e nella condivisione del codice. In una fase, gli sviluppatori KHTML hanno dichiarato che era improbabile che avrebbero accettato le modifiche di Apple e hanno definito la relazione tra i due gruppi un "fallimento amaro".

Il 7 giugno 2005, lo sviluppatore Safari Dave Hyatt ha annunciato sul suo weblog che Apple stava rendendo open source WebKit, aprendo l'accesso all'albero di controllo delle revisioni e al sistema di tracciamento dei problemi. In precedenza, solo WebCore e JavaScriptCore erano open source. A metà dicembre 2005, il supporto per Scalable Vector Graphics (SVG) è stato integrato nella build standard.

Il fork di Google e la nascita di Blink

⬆ Torna su

Il 3 aprile 2013, Google ha annunciato di aver effettuato un fork di WebCore, un componente di WebKit, per essere utilizzato nelle versioni future di Google Chrome con il nome Blink. Gli sviluppatori di Chrome hanno deciso il fork per permettere una maggiore libertà nell'implementazione delle funzionalità di WebCore nel browser senza causare conflitti a monte, e per consentire la semplificazione della base di codice rimuovendo il codice per i componenti WebCore non utilizzati da Chrome. In relazione all'annuncio di Opera Software di passare a WebKit attraverso la base di codice Chromium, è stato confermato che anche il browser Opera sarebbe passato a Blink.

In seguito all'annuncio, gli sviluppatori WebKit hanno avviato discussioni sulla rimozione del codice specifico di Chrome dal motore per snellire la sua base di codice. WebKit non contiene più alcun codice specifico di Chrome, come il sistema di build, gli hook del motore JavaScript V8 e il codice di piattaforma. Chrome per iOS continua tuttavia a utilizzare WebKit perché Apple richiede che i browser web su quella piattaforma debbano farlo.

Le vulnerabilità zero-day del 2025

⬆ Torna su

Apple ha rilasciato aggiornamenti di sicurezza d'emergenza per correggere due vulnerabilità zero-day attivamente sfruttate in attacchi definiti "estremamente sofisticati" e rivolti a individui specifici. Le falle, identificate come CVE-2025-43529 e CVE-2025-14174, colpiscono il motore di rendering WebKit e rappresentano il settimo e ottavo zero-day che l'azienda di Cupertino ha dovuto neutralizzare nel corso del 2025. La scoperta congiunta da parte del Threat Analysis Group di Google e dei team interni di Apple suggerisce una campagna coordinata di portata significativa.

La prima vulnerabilità, CVE-2025-43529, è una falla di tipo use-after-free nel motore WebKit che consente l'esecuzione remota di codice arbitrario attraverso l'elaborazione di contenuti web costruiti ad hoc. Questo tipo di difetto si verifica quando il sistema tenta di accedere a memoria già liberata, creando una condizione sfruttabile per l'iniezione di payload malevoli. La seconda falla, CVE-2025-14174, riguarda invece un problema di corruzione della memoria sempre in WebKit, con potenziali conseguenze per l'integrità del dispositivo.

Un altro bug tracciato come CVE-2025-24201 è stato identificato come un problema di scrittura out-of-bound che permette a un attaccante di sfruttare un contenuto web creato ad hoc per uscire dalla sandbox del browser. Secondo quanto riportato dalla compagnia, la vulnerabilità sarebbe stata già sfruttata in attacchi "estremamente sofisticati" contro dispositivi iOS con versioni precedenti alla 17.2.

Il bug di integer overflow scoperto da Joseph Goydish

⬆ Torna su

Un rapporto del 29 dicembre 2025 dettaglia una vulnerabilità critica scoperta dal ricercatore di sicurezza Joseph Goydish nel motore WebKit di Apple. Questa falla di sicurezza, se sfruttata in combinazione con altri exploit, potrebbe permettere agli attaccanti di eseguire codice arbitrario sui dispositivi iOS più recenti. Il difetto, identificato come un bug di integer overflow in iOS 26.2, potrebbe anche permettere agli attaccanti di far crashare i browser.

La vulnerabilità ha origine da un bug software classico: un overflow di intero. Secondo il rapporto, il problema si verifica quando si calcolano i limiti di memoria per operazioni ArrayBuffer, TypedArray e WebAssembly. La falla di sicurezza riguarda il motore JavaScriptCore (JSC), il cuore di Safari e di tutti i browser di terze parti su iOS. Gli hacker potrebbero sfruttare questa vulnerabilità, che rappresenta una "primitiva deterministica", per condurre attacchi più pericolosi.

Al momento gli utenti sono protetti da Gigacage, il meccanismo di partizione di sicurezza di WebKit. Quando l'overflow tenta di accedere alla memoria al di fuori della partizione consentita di 16GB, Gigacage rileva la violazione e termina immediatamente il processo WebContent. Sebbene questo impedisca l'esecuzione immediata di codice dannoso, causa una negazione del servizio persistente (DoS), provocando il crash immediato del browser o delle visualizzazioni web incorporate.

Dispositivi interessati e disponibilità delle patch

⬆ Torna su

L'elenco dei dispositivi interessati dalle vulnerabilità è ampio e comprende iPhone 11 e successivi, iPad Pro dalla terza generazione in poi per i modelli da 12,9 pollici e dalla prima generazione per i modelli da 11 pollici, iPad Air di terza generazione e successivi, iPad standard dall'ottava generazione, oltre agli iPad mini dalla quinta generazione. Le patch sono state distribuite attraverso iOS 26.2 e iPadOS 26.2, ma anche nelle versioni precedenti ancora supportate come iOS 18.7.3 e iPadOS 18.7.3, oltre che in macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 e Safari 26.2.

Per quanto riguarda CVE-2025-24201, il fix è disponibile nelle versioni iOS 18.3.2 e iPadOS 18.3.2 per iPhone XS e successivi, iPad Pro da 12 pollici, iPad Pro da 12,9 pollici di terza generazione e successive, iPad Air di terza generazione e successive, iPad di settima generazione e successiva e iPad mini di quinta generazione e successiva. La patch è inoltre disponibile in Safari 18.3.1 per macOS Ventura e Sonoma, in macOS Sequoia 15.3.2, in visionOS 2.3.2 per Vision Pro e in tvOS 18.3.1 per le Apple TV 4K di terza generazione.

La questione dell'aggiornamento e il mancato passaggio a iOS 26

⬆ Torna su

Le stime citate dalle fonti suggeriscono che circa il 50% degli utenti con dispositivi compatibili sono ancora fermi a iOS/iPadOS 18 e non hanno effettuato il passaggio alla versione 26. Apple ha scelto di cambiare sistema di numerazione, passando dalla versione 18 alla 26. Alla base di questa scelta ci sono diversi aspetti della nuova versione del sistema operativo che non hanno convinto, soprattutto per quanto riguarda il design chiamato Liquid Glass. I numeri ufficiali non sono disponibili, ma potrebbero esserci almeno 800 milioni di dispositivi potenzialmente a rischio a causa del mancato passaggio alla nuova versione del sistema operativo.

L'interruzione della firma degli aggiornamenti per dispositivi datati

⬆ Torna su

Apple ha interrotto la firma digitale di diversi aggiornamenti iOS e iPadOS rilasciati il 26 gennaio, impedendo agli utenti di installare queste versioni su iPhone e iPad più datati. La pratica della firma degli aggiornamenti è un elemento del sistema di sicurezza Apple: quando un firmware viene firmato dai server dell'azienda, il dispositivo verifica l'autenticità e l'integrità del file IPSW prima dell'installazione. Una volta che la firma viene revocata, qualsiasi tentativo di installazione fallisce, rendendo impossibile il downgrade o le installazioni tardive.

Gli aggiornamenti colpiti da questa interruzione della firma includevano principalmente versioni di sicurezza destinate a modelli di iPhone e iPad non più supportati dalle release principali come iOS 26. Questi update erano stati rilasciati per affrontare questioni critiche, tra cui la sostituzione di certificati di sicurezza in scadenza. Senza questi aggiornamenti, servizi essenziali come iMessage, FaceTime e l'attivazione del dispositivo potrebbero smettere di funzionare dopo gennaio 2027, quando i certificati attuali scadranno.

Secondo report da fonti affidabili, il motivo principale per l'interruzione della firma è un problema di connettività di rete identificato post-rilascio. Apple ha agito rapidamente per evitare che utenti installassero versioni potenzialmente difettose, con l'intenzione di rilasciare build corrette nei prossimi giorni. Questo non è un caso isolato: in passato, Apple ha revocato firme per motivi simili, come bug critici o exploit di sicurezza.

La sequenza di zero-day nel 2025

⬆ Torna su

Questo episodio si inserisce in una sequenza di vulnerabilità per l'ecosistema Apple: dopo CVE-2025-24085 a gennaio, CVE-2025-24200 a febbraio, CVE-2025-24201 a marzo, la doppia correzione di aprile con CVE-2025-31200 e CVE-2025-31201, e il backport di settembre per CVE-2025-43300 su dispositivi più datati con iOS 15.8.5 e 16.7.12, il totale raggiunge ora otto vulnerabilità zero-day nel 2025. Un ritmo che sottolinea l'intensificarsi degli sforzi da parte di attori ostili per bucare le difese di iOS.

Il pattern di sfruttamento suggerisce con alta probabilità l'utilizzo di spyware commerciale di livello militare, simile a quanto già osservato con NSO Group e altre società specializzate in strumenti di sorveglianza. La natura "estremamente sofisticata" dell'attacco, secondo la terminologia utilizzata da Apple, indica una catena di exploit multi-stadio con tecniche avanzate di evasione delle protezioni di sicurezza integrate in iOS, come il sandboxing delle applicazioni e la protezione della memoria basata su pointer authentication code (PAC).

Un mese prima dell'ultimo fix, Apple aveva rilasciato una correzione per un altro bug 0-day, anch'esso già sfruttato. La vulnerabilità CVE-2025-24200 permetteva a un attaccante di disabilitare USB Restricted Mode e scaricare le informazioni dell'utente. La modalità disabilita le connessioni dati via cavo dopo 60 minuti di inattività del dispositivo, ma alcuni cybercriminali sono riusciti a bypassare il meccanismo di sicurezza e sferrare attacchi mirati.

WebKit2 e l'architettura a processi separati

⬆ Torna su

L'8 aprile 2010, un progetto denominato WebKit2 è stato annunciato per ridisegnare WebKit. Il suo obiettivo era di astrarre i componenti che forniscono il layout di pagina e il rendering dalla loro interfaccia circostante o shell dell'applicazione, creando una situazione in cui i contenuti web (JavaScript, HTML, layout, ecc.) risiedono in un processo separato dall'interfaccia utente dell'applicazione. Questa astrazione era intesa a rendere il riutilizzo un processo più diretto per WebKit2 rispetto a WebKit. Safari per macOS è passato al nuovo API con la versione 5.1, mentre Safari per iOS è passato a WebKit2 con iOS 8. L'API WebKit originale è stata rinominata WebKitLegacy API, mentre l'API WebKit2 è stata rinominata semplicemente API WebKit.

WebKit passa i test Acid2 e Acid3, con rendering pixel-perfect e senza problemi di timing o fluidità su hardware di riferimento. WebCore è una libreria di layout, rendering e Document Object Model (DOM) per HTML e Scalable Vector Graphics (SVG), sviluppata dal progetto WebKit. Il suo codice sorgente completo è concesso in licenza sotto la GNU Lesser General Public License (LGPL). Il framework WebKit avvolge WebCore e JavaScriptCore, fornendo un'interfaccia di programmazione applicativa Objective-C al motore di rendering WebCore basato su C++ e al motore di script JavaScriptCore.

Considerazioni sulla sicurezza e suggerimenti pratici

⬆ Torna su

Risolvere il problema delle falle è possibile grazie agli interventi di Apple, ma molti utenti non hanno ancora aggiornato il sistema operativo dei propri iPhone e iPad. Aggiornando il proprio dispositivo all'ultima versione disponibile, è possibile eliminare le vulnerabilità. La procedura consiste nell'accedere alle Impostazioni e installare l'ultima versione del sistema operativo tramite la sezione dedicata agli aggiornamenti.

Per gli utenti con dispositivi che rientrano nell'elenco dei modelli interessati, l'aggiornamento rapido del sistema operativo è consigliato. Questo vale anche per chi possiede un dispositivo iOS 26 che non è stato aggiornato all'ultima versione del sistema operativo. Apple invita gli utenti ad aggiornare il prima possibile i propri dispositivi per proteggersi dalla minaccia.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La diffusione di WebKit su molteplici piattaforme amplifica l'impatto potenziale delle vulnerabilità scoperte. La natura mirata degli attacchi segnalati suggerisce un livello di sofisticazione elevato, con possibili ricadute anche su utenti non direttamente presi di mira.

  • Scenario 1: Gli utenti che non aggiornano ai sistemi più recenti potrebbero rimanere esposti a vulnerabilità note, considerando che una quota significativa di dispositivi risulta ancora su versioni precedenti.
  • Scenario 2: La protezione offerta da Gigacage potrebbe essere aggirata in futuro attraverso exploit combinati, dato che il bug di integer overflow è stato classificato come primitiva deterministica.
  • Scenario 3: La convergenza di più zero-day nel corso del 2025 potrebbe indicare una crescente attenzione degli attori malevoli verso l'ecosistema Apple.

Cosa monitorare

⬆ Torna su
  • La velocità di adozione delle patch tra gli utenti con dispositivi più datati.
  • Eventuali nuovi exploit che combinino le vulnerabilità già note.
  • La risposta di Apple in termini di tempistiche e completezza degli aggiornamenti futuri.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre informazioni fattuali non presenti nel testo.

Fonti

⬆ Torna su

In breve

  • webkit
  • Apple
  • WebKit
  • Google

Link utili

Apri l'articolo su DeafNews