Apple, due zero-day WebKit attivi: patch per Safari 26.2 e iOS 18.7.3

Apple, due zero-day WebKit attivi: patch per Safari 26.2 e iOS 18.7.3

Apple ha rilasciato aggiornamenti di sicurezza critici per correggere due vulnerabilità zero-day nel motore WebKit, confermando che entrambe sono state sfruttate in attacchi remoti mirati. Secondo quanto dichiarato ufficialmente, l'azienda è a conoscenza di report secondo cui "Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals". Contemporaneamente, l'Hong Kong Computer Emergency Response Team (HKCERT) ha confermato che "CVE-2025-14174 is being exploited in the wild", elevando la priorità di intervento per tutti gli utenti macOS, iOS e iPadOS.

Le correzioni sono incluse in Safari 26.2 per macOS Sonoma e Sequoia, e nelle versioni iOS 18.7.3 e iPadOS 18.7.3. Questi interventi chiudono falle che consentono l’esecuzione di codice arbitrario (RCE) tramite il rendering di contenuti web malevoli. La natura degli attacchi, definiti estremamente sofisticati, indica l'uso di exploit avanzati contro obiettivi specifici, rendendo l'aggiornamento dei dispositivi non aggiornati una necessità immediata per prevenire la compromissione dei dati sensibili e l'accesso non autorizzato ai sistemi.

Dettagli tecnici: corruzione di memoria e vulnerabilità ANGLE

Le due vulnerabilità corrette da Apple risiedono nel cuore del motore di rendering WebKit, il componente responsabile della visualizzazione dei contenuti web in Safari e in numerose applicazioni di terze parti. La prima falla, identificata come CVE-2025-14174, è un problema di accesso alla memoria di tipo out-of-bounds localizzato nel componente ANGLE. Questo difetto permette a un utente malintenzionato di indurre il sistema a leggere o scrivere dati oltre i limiti della memoria allocata, portando potenzialmente all'esecuzione di codice non autorizzato.

La seconda vulnerabilità, CVE-2025-43529, riguarda un generico problema di memory corruption nel motore WebKit. Sebbene l'advisory di Apple mantenga una certa riservatezza sui dettagli specifici dell'exploit, la classificazione conferma che l'elaborazione di contenuti web appositamente creati può compromettere la stabilità del browser e consentire a un attaccante di prendere il controllo dei processi di rendering. In entrambi i casi, il vettore di attacco è remoto e non richiede interazioni complesse da parte della vittima, se non la visita a una pagina compromessa.

L'assenza di dettagli tecnici granulari da parte del vendor è una pratica comune per prevenire la diffusione di massa degli exploit prima che la maggior parte dei sistemi sia patchata. Tuttavia, la conferma di attacchi sofisticati suggerisce che gli exploit siano stati sviluppati da attori con risorse significative. La criticità è amplificata dal fatto che WebKit agisce come interfaccia primaria tra l'utente e il web, rendendo impossibile navigare in sicurezza senza l'applicazione dei correttivi rilasciati nelle ultime ore.

HKCERT ha dichiarato ufficialmente: "Hence, the risk level is rated as Extremely High Risk", confermando che CVE-2025-14174 è attivamente sfruttata in the wild.

Chiarimento sulle versioni: l'ambiguità tra iOS 26 e iOS 18.7.3

Un elemento di potenziale confusione per gli utenti e i responsabili IT deriva dalla documentazione di supporto di Apple. Nell'advisory ufficiale, l'azienda dichiara che gli attacchi sono stati rilevati su "versions of iOS before iOS 26". Questo riferimento numerico non deve trarre in inganno: si tratta di una nomenclatura interna o di un riferimento a versioni future del motore WebKit, e non riflette la numerazione corrente del sistema operativo mobile disponibile pubblicamente per gli utenti finali.

È essenziale chiarire che i dispositivi attualmente vulnerabili sono quelli che eseguono versioni precedenti a iOS 18.7.3 e iPadOS 18.7.3. La patch correttiva che risolve le vulnerabilità CVE-2025-14174 e CVE-2025-43529 è contenuta proprio nella release iOS 18.7.3. Gli utenti devono ignorare il riferimento a "iOS 26" come target di aggiornamento immediato e procedere invece all'installazione della versione 18.7.3 per mettere in sicurezza i propri iPhone e iPad dalla minaccia attiva.

Questa discrepanza terminologica evidenzia la necessità di affidarsi alle indicazioni tecniche di rilascio piuttosto che ai soli riferimenti descrittivi dei bollettini. Per i dispositivi mobili, l'unico modo per mitigare il rischio di esecuzione di codice remoto è l'allineamento completo del firmware di sistema, poiché WebKit è integrato profondamente nel kernel e nelle librerie di sistema di iOS, a differenza della versione per macOS dove Safari può essere aggiornato separatamente come applicazione.

Analisi degli attacchi: minacce sofisticate contro obiettivi mirati

Apple ha descritto gli attacchi rilevati come "extremely sophisticated", un termine che nella terminologia della cybersecurity identifica solitamente operazioni di cyberspionaggio o attacchi condotti da gruppi Advanced Persistent Threat (APT). Queste campagne non mirano a un'infezione indiscriminata di massa, ma si concentrano su individui specifici, come dissidenti, giornalisti, funzionari governativi o dirigenti d'azienda, al fine di esfiltrare dati sensibili o monitorare le attività delle vittime attraverso il controllo del dispositivo.

La conferma dell'exploitation in the wild per la vulnerabilità CVE-2025-14174 indica che l'exploit è già in possesso di attori malevoli ed è funzionale. Sebbene il numero di vittime accertate non sia stato reso pubblico, il rischio rimane elevato per chiunque utilizzi dispositivi non aggiornati, poiché una volta che la vulnerabilità diventa di dominio pubblico, altri gruppi criminali meno sofisticati potrebbero tentare di replicare l'exploit per attacchi su più ampia scala.

Inoltre, l'assenza di Indicatori di Compromissione (IoC) pubblici da parte di Apple rende difficile per i team di sicurezza aziendali verificare se i propri sistemi siano già stati colpiti. In questo scenario, la strategia di difesa non può che essere proattiva: l'eliminazione della vulnerabilità attraverso il patching è l'unica misura garantita per interrompere la catena di attacco prima che venga stabilita una persistenza sul dispositivo della vittima.

Cosa fare adesso

Data la valutazione di rischio estremamente elevata e la conferma di attacchi attivi, è obbligatorio aggiornare tutti i sistemi Apple entro le prossime ore. Le organizzazioni e gli utenti privati devono seguire rigorosamente queste indicazioni operative per neutralizzare il vettore d'attacco zero-day.

• Aggiornare immediatamente i dispositivi mobili a iOS 18.7.3 e iPadOS 18.7.3. Questa è l'unica protezione efficace per iPhone e iPad, poiché risolve le falle nel framework WebKit di sistema.
• Installare Safari 26.2 su macOS Sonoma e Sequoia. Gli utenti Mac devono verificare la disponibilità dell'aggiornamento nel pannello "Aggiornamento Software". Safari 26.2 contiene i fix necessari per CVE-2025-14174 e CVE-2025-43529.
• Verificare le versioni tramite MDM. Gli amministratori di sistemi aziendali devono utilizzare le console di Mobile Device Management per forzare l'installazione di iOS 18.7.3 sui dispositivi della flotta, riducendo a zero la finestra di esposizione dei dipendenti.
• Riavviare i sistemi post-installazione. Anche se alcuni aggiornamenti di Safari su macOS sembrano non richiederlo, un riavvio assicura che tutte le istanze dei processi WebKit in background vengano ricaricate con le versioni protette.

Ignorare questi aggiornamenti significa lasciare i dispositivi esposti a un attacco che richiede solo la navigazione su un sito web per compromettere l'intero sistema. La velocità di risposta è l'unico fattore che può contrastare l'efficacia di exploit così avanzati e già operativi sul campo.

Domande frequenti

Cosa significa che l'attacco è "extremely sophisticated"?

Indica che l'exploit utilizzato è tecnicamente complesso e probabilmente costoso da sviluppare. Spesso questi attacchi non richiedono l'interazione dell'utente (zero-click) o utilizzano catene di vulnerabilità multiple per bypassare le protezioni di sicurezza di Apple. Sono tipicamente utilizzati per colpire bersagli di alto valore piuttosto che per distribuire malware comune.

È sufficiente aggiornare solo l'app Safari su iPhone?

No. Su iOS e iPadOS, Safari è solo uno dei programmi che utilizzano WebKit. Il motore di rendering è incorporato nel sistema operativo e viene usato da quasi tutte le app che mostrano contenuti web (come client email o social network). Per questo motivo, Apple non rilascia un aggiornamento per Safari su mobile, ma richiede l'aggiornamento dell'intero sistema operativo a iOS 18.7.3.

C'è una differenza tra la versione di Safari su macOS e quella su iOS?

In termini di sicurezza, le vulnerabilità CVE-2025-14174 e CVE-2025-43529 colpiscono il codice condiviso tra le due piattaforme. Tuttavia, su macOS Safari può essere aggiornato separatamente (versione 26.2), mentre su iOS la protezione è legata alla versione del firmware (18.7.3). In entrambi i casi, l'impatto tecnico dell'exploit — l'esecuzione di codice arbitrario — rimane identico.

Le informazioni contenute in questo articolo sono state verificate basandosi sugli advisory ufficiali di Apple, HKCERT e CISecurity.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://support.apple.com/en-us/125892
• https://www.hkcert.org/security-bulletin/apple-products-multiple-vulnerabilities_20251215
• https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apple-products-could-allow-for-arbitrary-code-execution_2025-116
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?page=1
• http://www.zerodayinitiative.com/advisories/ZDI-26-313/