Scopri anche

• Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple
• Apple e il dibattito sull'intelligenza artificiale: dal paper sui modelli ragionanti alla frammentazione di iOS
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• iOS 12.5.8: Apple estende i certificati per iPhone 5s e iPhone 6 oltre il 2027
• Evento di primavera Apple 2026: prodotti previsti e tempi di rilascio
• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• Aggiornamento iPhone: sicurezza iOS 26 e risoluzione errori
• Strategie e Investimenti AI 2026: Nvidia, Tesla, Apple e le Tendenze dal CES
• Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
• iOS 26.2: sicurezza e nuove funzionalità per iPhone compatibili
• Apple conferma attacchi spyware mirati su iPhone: milioni di dispositivi a rischio
• iOS 26.2: oltre 20 vulnerabilità corrette, due già sfruttate in attacchi mirati
• iOS 26.2: sicurezza rafforzata contro le vulnerabilità WebKit e nuove funzionalità
• Apple AirBorne: vulnerabilità zero-click in AirPlay mette a rischio milioni di dispositivi
• Come gestire gli aggiornamenti iOS: procedure per annullare, bloccare e fare downgrade
• iOS 26.2: Patch Urgente Apple per Due Zero-Day in WebKit
• Come gestire gli aggiornamenti iOS: annullamento, rimozione beta e downgrade
• Apple UniGen 1.5: un modello unificato per comprensione, generazione e editing di immagini
• Apple Sceglie Google Gemini per il Nuovo Siri: Analisi della Partnership
• iOS 26: Aggiornamento, Sicurezza e Nuove Funzionalità per iPhone

Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati

Vulnerabilità zero-day in WebKit: gli aggiornamenti Apple per la sicurezza dei dispositivi

Apple ha rilasciato aggiornamenti di sicurezza di emergenza per correggere vulnerabilità zero-day in WebKit, il motore del browser Safari e di tutte le applicazioni che utilizzano WebView su iOS, iPadOS, macOS e altri sistemi operativi dell'ecosistema Apple. Le falle sono state sfruttate in attacchi definiti dall'azienda come "estremamente sofisticati" e mirati contro individui specifici, secondo quanto riportato negli avvisi di sicurezza ufficiali.

La vulnerabilità CVE-2025-24201 e il meccanismo dell'attacco

⬆ Torna su

La vulnerabilità tracciata come CVE-2025-24201 consiste in un problema di scrittura out-of-bound che consente a un aggressore di utilizzare contenuti web creati ad arte per uscire dalla sandbox del browser. WebKit è il motore del browser web multipiattaforma utilizzato da Safari e da molte altre applicazioni e browser su macOS, iOS, Linux e Windows. Questa caratteristica rende la superficie d'attacco particolarmente ampia: ogni app che incorpora una WebView dipende da WebKit, quindi il rischio non si limita alla navigazione con Safari.

Secondo Apple, la vulnerabilità sarebbe stata già sfruttata in attacchi contro dispositivi con versioni precedenti a iOS 17.2. L'azienda ha descritto il fix come "supplementare per un attacco che è stato bloccato in iOS 17.2", confermando l'esistenza di un report che documenta come la falla sia stata utilizzata per attacchi mirati. Paolo Dal Checco, consulente informatico forense e CEO di Forenser, ha commentato che non si tratta semplicemente di un rimedio a vulnerabilità scoperte dai ricercatori, ma di un tentativo di fermare attacchi probabilmente ancora in corso che sfruttano la navigazione web per infettare le vittime.

L'impatto pratico dell'exploit è immediato: basta un link o un redirect per attivare codice ostile, spesso senza indicatori visibili per l'utente. Una volta aperta la breccia nel browser e usciti dalla sandbox, gli attaccanti possono installare software spia, rubare password di altri programmi, infettare applicazioni e accedere a comunicazioni e contenuti sensibili. Per compromettere un dispositivo era sufficiente infettare un sito visitato abitualmente dalla vittima oppure predisporne uno ad hoc e convincerla a visitarlo.

Dispositivi interessati e disponibilità delle patch

⬆ Torna su

L'elenco dei dispositivi colpiti da questo zero-day è ampio, includendo modelli vecchi e nuovi. Il fix è disponibile nelle versioni iOS 18.3.2 e iPadOS 18.3.2 per iPhone XS e successivi, iPad Pro da 12 pollici, iPad Pro da 12,9 pollici di terza generazione e successive, iPad Air di terza generazione e successive, iPad di settima generazione e successiva, iPad mini di quinta generazione e successiva.

La patch è inoltre disponibile in Safari 18.3.1 per macOS Ventura e Sonoma, in macOS Sequoia 15.3.2, in visionOS 2.3.2 per Vision Pro e in tvOS 18.3.1 per Apple TV 4K di terza generazione. Apple invita tutti gli utenti ad aggiornare i propri sistemi operativi all'ultima versione disponibile per proteggersi dalla minaccia.

La frammentazione degli aggiornamenti come fattore di rischio

⬆ Torna su

I dati sull'adozione degli aggiornamenti descrivono una situazione critica. Solo il 15-16% degli iPhone attivi esegue una qualsiasi versione di iOS 26, con iOS 26.2 sotto il 5%. La maggioranza resta su iOS 18.6-18.7, oltre il 60% del parco installato. Stime citate dalle fonti suggeriscono che circa il 50% degli utenti con dispositivi compatibili sono ancora fermi a iOS/iPadOS 18 e non hanno effettuato il passaggio alla versione 26. Apple ha cambiato sistema di numerazione, passando dalla versione 18 alla 26. Alla base di questa scelta ci sono diversi aspetti della nuova versione del sistema operativo che non hanno convinto, soprattutto per quanto riguarda il design chiamato Liquid Glass.

Questa frammentazione crea una "coda lunga" di dispositivi senza patch, ideale per attori che riutilizzano gli stessi vettori su target meno protetti. Apple ha rilasciato patch anche su iOS 18.7.3, ma solo per i modelli che non possono installare iOS 26: chi ha un dispositivo aggiornabile e sceglie di restare su iOS 18 non riceve le mitigazioni più recenti. Il risultato è un divario di sicurezza che rende inefficaci le misure difensive precedenti e prolunga l'esposizione agli exploit "in the wild". Le conseguenze superano il perimetro individuale: minore adozione degli aggiornamenti significa più dispositivi vulnerabili in circolazione, più campagne di phishing efficaci e maggiore incentivo economico per mantenere e vendere gli exploit.

Il ruolo del riavvio del dispositivo

⬆ Torna su

Gli esperti di Malwarebytes hanno evidenziato un fattore importante nel ciclo di aggiornamento: il riavvio del dispositivo. Quando si riavvia il dispositivo, qualsiasi malware residente in memoria viene eliminato, a meno che non abbia acquisito persistenza, nel qual caso tornerà. Gli strumenti spyware di fascia alta tendono a evitare di lasciare tracce necessarie per la persistenza e spesso si basano sul fatto che gli utenti non riavviino i loro dispositivi. Le campagne osservate non sono indiscriminate ma mirate: colpiscono profili ad alto valore come giornalisti, attivisti e figure politiche, con exploit già utilizzati "in the wild".

Le novità di iOS 26.3 oltre alle patch di sicurezza

⬆ Torna su

iOS 26.3 introduce diverse funzionalità che vanno oltre le correzioni di sicurezza. Una delle principali è il nuovo sistema di migrazione dati rapido, che permette di trasferire foto, video, messaggi, password e app da iPhone a un dispositivo Android semplicemente avvicinando i due smartphone. Non serve installare software di terze parti: basta attivare il collegamento prossimità e seguire le istruzioni a schermo. La funzione funziona anche in senso inverso e utilizza Quick Share/AirDrop esteso con crittografia end-to-end, supportando password Keychain, SMS/iMessage, note, foto e video. I limiti riguardano le dimensioni dei file, fino a 10GB testati, e la compatibilità con Android 14+.

Apple ha introdotto anche la funzione inoltro notifiche per dispositivi non Apple. Nelle impostazioni appare una nuova sezione per inviare le notifiche dell'iPhone a smartwatch Wear OS o altri accessori compatibili. L'utente può scegliere quali app inoltrare, con un funzionamento simile a quello con Apple Watch. La funzione è però limitata a un solo dispositivo alla volta: se si abilita un accessorio di terze parti, le notifiche non andranno più all'Apple Watch. Questa novità rispetta le normative europee sull'interoperabilità, in particolare il Digital Markets Act, ma è disponibile solo su alcuni operatori e modem Apple C1/C1X. I dispositivi con modem Qualcomm o Intel non lo supportano ancora.

Ottimizzazioni e miglioramenti tecnici

⬆ Torna su

iOS 26.3 ottimizza la gestione della batteria, riducendo i consumi in background per sincronizzazioni cloud, notifiche push, localizzazione e aggiornamenti app. Su modelli meno recenti, si nota una maggiore costanza nell'autonomia durante la giornata. La connettività è più solida: Wi-Fi stabile su reti mesh, Bluetooth affidabile per auricolari e auto. Sono stati corretti bug nel multitasking, split screen e animazioni fluide tra schermata di blocco e home. Nuovi sfondi Meteo reattivi alle condizioni reali e una sezione dedicata per personalizzare la schermata di blocco completano le novità. Gli operatori possono ora attivare o disattivare la crittografia end-to-end per messaggi RCS.

iOS 26.3 introduce miglioramenti strutturali all'isolamento applicazioni. La sandbox è potenziata per limitare il movimento laterale in caso di app compromessa, riducendo rischi di exploit. Le patch critiche correggono vulnerabilità zero-day, con enfasi su protezione contro minacce digitali emergenti. Le metriche performance post-update dai beta indicano fluidità UI +12%, crash rate -18%, batteria media +5% su uso misto, con test su iPhone 16 series. Per sviluppatori, Apple ha reso disponibili sessioni WWDC su sandbox enhancements e modem APIs.

Altre vulnerabilità corrette nel 2025

⬆ Torna su

Insieme alla vulnerabilità CVE-2025-24201, Apple ha corretto altre tre zero-day dall'inizio dell'anno: la prima a gennaio (CVE-2025-24085) e la seconda a febbraio (CVE-2025-24200). Quest'ultima permetteva a un attaccante di disabilitare USB Restricted Mode e scaricare le informazioni dell'utente. La modalità disabilita le connessioni dati via cavo dopo 60 minuti di inattività del dispositivo, ma alcuni cybercriminali sono riusciti a bypassare il meccanismo di sicurezza e sferrare attacchi mirati. L'anno scorso, Apple ha corretto altri sei zero-day sfruttati in the wild: il primo a gennaio, due a marzo, un quarto a maggio e altri due a novembre. L'anno precedente, l'azienda aveva rilasciato patch per risolvere 20 vulnerabilità zero-day sfruttate in attacchi.

Aggiornamenti per altri sistemi dell'ecosistema Apple

⬆ Torna su

Non solo iOS: iPadOS 26.3, macOS Tahoe 26.3, watchOS 26.3, tvOS 26.3, visionOS 26.3 e HomePod 26.3 ricevono patch di sicurezza, correzioni bug e ottimizzazioni performance. Nei beta, tracce di supporto per chip M5 Max e M5 Ultra suggeriscono refresh in arrivo per Mac high-end. Beta tester notano driver preliminari M5 Max/Ultra in macOS/iPadOS: PCIe 5.0, Neural Engine 50TOPS+. Per iOS 26.4 è prevista una Siri potenziata, basata su modelli Gemini di Google, con integrazione multimodale e contesto persistente, ritardata da standard qualitativi elevati e prevista prima ai beta tester.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La vulnerabilità in WebKit e la bassa adozione degli aggiornamenti creano condizioni favorevoli per attori malevoli che operano su orizzonti temporali estesi. La superficie d'attacco ampla, che include tutte le app con WebView, aumenta l'esposizione complessiva dell'ecosistema.

• Scenario 1: Gli attacchi mirati potrebbero proseguire sfruttando la "coda lunga" di dispositivi ancora su iOS 18, dove le mitigazioni più recenti non sono disponibili.
• Scenario 2: La funzione di inoltro notifiche verso dispositivi terzi potrebbe estendere il perimetro di rischio se implementata senza adeguati controlli di sicurezza.
• Scenario 3: Il potenziamento della sandbox in iOS 26.3 potrebbe ridurre il movimento laterale, ma l'efficacia dipende dalla rapidità di adozione da parte degli utenti.

Cosa monitorare

⬆ Torna su

• L'evoluzione del tasso di adozione delle patch, in particolare il passaggio da iOS 18 a iOS 26.
• Eventuali segnalazioni di nuove varianti dell'exploit in circolazione.
• La risposta degli operatori di threat intelligence rispetto alla campagna definita "estremamente sofisticata".

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://prothect.it/apple/ios-26-3-e-disponibile-tutte-le-novita-per-il-tuo-iphone/
• https://www.libero.it/tecnologia/apple-dispositivi-rischio-sicurezza-falla-browser-111187
• https://www.telefonino.net/notizie/hai-iphone-ecco-perche-devi-aggiornare-riavviare-subito/
• https://assodigitale.it/iphone-a-rischio-come-proteggerti-davvero-oltre-gli-aggiornamenti-ios-e-scoprire-le-falle-nascoste/
• https://www.cybersecurity360.it/news/zero-day-in-webkit-sfruttata-in-attacchi-sofisticati-la-patch-apple-e-urgente/
• https://www.securityinfo.it/2025/03/12/apple-risolve-un-bug-0-day-di-webkit-gia-sfruttato/
• https://xion.it/apple-corregge-falla-di-webkit-sfruttata-per-attacco-mirato/