Apple Safari: RCE nel motore regex, scopre Trend Micro ZDI
Analisi della vulnerabilità ZDI-26-313 in Safari: heap buffer overflow nei duplicate named groups per l'esecuzione di codice remoto (RCE).
Contenuto
Un security manager si trova oggi di fronte a un paradosso critico: gestire una vulnerabilità di esecuzione remota di codice (RCE) confermata su Apple Safari, ma priva di identificativo CVE e punteggio CVSS ufficiale. L’advisory ZDI-26-313, pubblicato il 12 maggio 2026, documenta un heap-based buffer overflow nel motore di parsing delle regular expression. La falla consente a un attaccante remoto di eseguire codice arbitrario nel contesto del processo corrente, a patto che l’utente visiti una pagina web o apra un file malevolo.
- La vulnerabilità è un heap-based buffer overflow nel motore JavaScript/WebKit di Safari, localizzato nella gestione delle regular expression con duplicate named groups, dove la lunghezza dei dati non viene validata prima della scrittura [FONTE 1].
- Un attaccante remoto può ottenere esecuzione remota di codice (RCE) sfruttando l’interazione dell’utente con una pagina web o un file malevolo che attivi il parsing del pattern compromesso [FONTE 1].
- Apple ha rilasciato un aggiornamento dopo la segnalazione del 26 marzo 2026, sebbene le fonti non indichino i numeri di build specifici per Safari o i sistemi operativi interessati [FONTE 1].
- L’assenza di un CVE e di riscontri in cataloghi come CISA KEV o NVD rende l’advisory ZDI l’unico punto di riferimento, impedendo l'automazione della difesa tramite scanner standard.
Il meccanismo dell’overflow: WebKit e lo standard ECMAScript
Il difetto si annida nell'implementazione di JavaScriptCore (JSC), il motore WebKit che gestisce le regular expression in Safari. Con l'evoluzione dello standard ECMAScript, sono stati introdotti costrutti avanzati come i "duplicate named groups", che permettono di riutilizzare lo stesso nome per gruppi di cattura diversi. Questa complessità strutturale richiede una gestione rigorosa della memoria. Il parser di Safari, tuttavia, fallisce nella validazione della lunghezza dei dati forniti dall'utente prima di copiarli in un buffer allocato nell'heap.
Storicamente, i motori regex sono stati terreno fertile per bug di memoria a causa della natura ricorsiva e dinamica del parsing dei pattern. In questo caso specifico, la mancanza di controlli accurati sui limiti (bounds checking) durante la gestione dei gruppi nominati crea una condizione classica di overflow. Questo permette a un payload malevolo di sovrascrivere dati adiacenti nell'heap, portando potenzialmente alla corruzione dei puntatori di funzione e, di conseguenza, all'esecuzione di codice arbitrario all'interno del processo del browser.
"The specific flaw exists within the handling of regular expression named groups. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process." — Zero Day Initiative, advisory ZDI-26-313
Enterprise Impact: l'invisibilità del rischio senza CVE
Per un'organizzazione, la mancanza di un identificativo CVE (Common Vulnerabilities and Exposures) per ZDI-26-313 rappresenta un ostacolo operativo rilevante. Gli scanner di vulnerabilità aziendali, come Nessus o Qualys, si basano su feed NVD o CISA KEV per identificare i software vulnerabili. Senza un CVE associato, questo RCE rimane invisibile agli strumenti di monitoraggio automatico, rendendo impossibile per i team IT quantificare l'esposizione reale della propria flotta di dispositivi Apple tramite dashboard centralizzate.
Inoltre, l'assenza di un punteggio CVSS (Common Vulnerability Scoring System) complica la prioritizzazione delle patch. Molte policy SLA aziendali impongono il fix dei bug "critici" (CVSS 9.0+) entro finestre temporali ristrette. Senza un valore numerico ufficiale, la vulnerabilità rischia di scivolare in fondo alla lista delle priorità, nonostante il potenziale impatto RCE. Questo vuoto informativo costringe i responsabili della sicurezza a una valutazione manuale del rischio, basata esclusivamente sulla documentazione tecnica fornita da terze parti come Trend Micro.
Aggiornamento Apple e la disclosure coordinata
Trend Micro ha segnalato formalmente la falla ad Apple il 26 marzo 2026. La pubblicazione coordinata è avvenuta il 12 maggio 2026, indicando che il vendor ha avuto circa sei settimane per preparare una patch. Sebbene ZDI confermi che Apple ha rilasciato un aggiornamento correttivo, i dettagli sulle build specifiche rimangono opachi. Questa mancanza di trasparenza è tipica del modello di rilascio di Apple, ma in questo caso è accentuata dall'assenza di un advisory di sicurezza Apple speculare collegato a un CVE.
La disclosure coordinata protegge gli utenti finali evitando che i dettagli tecnici diventino pubblici prima della disponibilità di un rimedio. Tuttavia, l'isolamento di questa informazione nel solo database ZDI suggerisce una frammentazione nel processo di segnalazione globale. Le organizzazioni che seguono esclusivamente i bollettini istituzionali di CISA o NVD potrebbero non essere consapevoli della necessità di aggiornare Safari per risolvere specificamente questo heap-based buffer overflow, esponendo i propri utenti ad attacchi di social engineering o drive-by download.
Cosa fare adesso
- Verificare manualmente che Safari sia aggiornato all'ultima versione disponibile rilasciata dopo il 12 maggio 2026, consultando il menu "Informazioni su Safari" per assicurarsi che non vi siano update di sistema pendenti in macOS o iOS.
- Aggiornare i criteri di filtraggio web per monitorare o bloccare script che utilizzano costrutti regex complessi (come i named groups) in contesti ad alto rischio, sebbene questa misura sia puramente palliativa rispetto alla patch del software.
- Integrare i feed di intelligence di terze parti, come quelli di Trend Micro ZDI, nei propri flussi di Vulnerability Management per colmare le lacune informative lasciate dai database governativi come NVD.
- Istruire il personale sul rischio derivante dall'apertura di file o link non attendibili, dato che l'interazione dell'utente è l'innesco necessario per attivare l'overflow nel processo del browser.
L’advisory ZDI-26-313 è un segnale d'allarme sulla salute del processo di disclosure globale. Quando un bug RCE su un browser mainstream come Safari non riceve un identificativo standard, il sistema di gestione del rischio basato sulle metriche CVSS fallisce. Per gli amministratori di sistema, l'unica difesa verificabile rimane l'applicazione immediata di ogni aggiornamento Apple rilasciato post-maggio 2026, trattando ogni patch cumulativa come critica a prescindere dalla presenza di una documentazione CVE esplicita.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.