// 1 ZERO-DAY · 2 CVE · 2 EXPLOIT NELLE ULTIME 24H
Apple ha decouplato gli aggiornamenti di sicurezza dal ciclo delle major release, motivando il cambiamento con l'accelerazione degli attacchi basati su intelligenza

Apple ha rilasciato il 29 giugno 2026 aggiornamenti di sicurezza per iPhone, iPad, MacBook e Safari non legati a una major release del sistema operativo. L'azienda ha motivato il cambiamento con la necessità di rispondere all'accelerazione degli attacchi basati su intelligenza artificiale. Non è chiaro se il cambio di politica sia permanente o una sperimentazione iniziale, né è specificato quanto più frequente sarà il nuovo ciclo di patching.

Punti chiave
  • Apple ha decouplato gli aggiornamenti di sicurezza dal ciclo delle major release, con patch il 29 giugno 2026 (iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2, Safari 26.5.2).
  • La motivazione ufficiale, trasmessa via Reuters e riportata da Dark Reading, è l'adattamento alla "realtà" dell'intelligenza artificiale quale acceleratore dello sviluppo di strumenti di hacking malevoli.
  • Le patch del 29 giugno 2026 non riguardavano vulnerabilità attivamente sfruttate; lo scopo era iniziare a aggiornare più frequentemente in generale.
  • CVE-2025-43529 (CVSS 8.8, use-after-free in WebKit) e CVE-2026-20700 (CVSS 7.8, memory corruption) sono entrambe nel catalogo CISA KEV con exploitation attiva confermata, ma non sono collegate alle patch del 29 giugno.
  • iVerify ha trovato circa una dozzina di bug usando strumenti AI in circa due mesi di programma OpenAI, uno dei quali riconosciuto da Apple come CVE.

La dichiarazione di Apple e i limiti noti

Apple ha dichiarato via Reuters, come riportato da Dark Reading, che "si stava adattando alla realtà che, data la capacità dell'intelligenza artificiale di accelerare lo sviluppo di strumenti di hacking malevoli, era necessario ridurre il tempo tra quando gli aggiornamenti venivano resi pubblici e quando venivano messi nelle mani dei clienti". Il vendor non ha quantificato il nuovo intervallo, né ha reso noti eventuali riorganizzazioni interne per sostenerlo.

Le patch rilasciate il 29 giugno, secondo la stessa fonte, non riguardavano vulnerabilità attivamente sfruttate. Costituivano piuttosto l'apertura di un nuovo ritmo. Apple non ha specificato se il cambiamento sia definitivo o sperimentale.

Il contesto delle CVE attivamente sfruttate

Nel periodo considerato, due vulnerabilità Apple risultano nel catalogo CISA Known Exploited Vulnerabilities con exploitation attiva confermata. CVE-2025-43529, use-after-free nel motore di rendering WebKit, registra un CVSS 8.8 nella versione 3.1. Apple ha dichiarato che questa vulnerabilità è stata sfruttata in attacchi "estremamente sofisticati" contro individui specifici. CVE-2026-20700, classificata come memory corruption, ha un CVSS 7.8 ed è stata oggetto della stessa descrizione operativa da parte del vendor.

Entrambe le voci nel database NVD riportano lo status CISA KEV senza dettagli sul vettore di attacco iniziale né sulla campagna specifica. Il dossier non chiarisce se queste due vulnerabilità siano state scoperte o weaponizzate tramite strumenti AI, né se rientrino tra quelle individuate dal team iVerify. Queste CVE non sono state risolte dalle patch del 29 giugno 2026.

La prova dal campo: iVerify e il testing AI-driven

Rocky Cole, CEO di iVerify, ha fornito una verifica empirica del fenomeno dichiarato da Apple. Attraverso il programma OpenAI Trusted Access for Cyber, il team iVerify ha individuato circa una dozzina di bug in circa due mesi, usando strumenti di intelligenza artificiale. Uno di questi è stato riconosciuto da Apple come CVE.

Cole ha dichiarato che "in alcuni casi, siamo stati in grado di usare gli strumenti AI per vedere quelle [vulnerabilità] in direzione dell'exploitation". La formulazione originale in inglese — "see those into exploitation" — è ambigua e non equivale necessariamente a una realizzazione pratica completa dell'exploit. La citazione non specifica il tipo di vulnerabilità né la piattaforma interessata dal CVE riconosciuto.

"In 2018, the average time to exploitation was about 63 days. In the last two years, that number has actually flipped negative, meaning that, on average, attackers are now routinely weaponizing a flaw before a patch is even public. Zero-days are now, on average, being used more than n-days." — Rocky Cole, CEO iVerify, citando Mandiant

Il dato Mandiant mostra un'inversione di tendenza: dal 2018, quando il tempo medio era di circa 63 giorni, a valori negativi negli ultimi due anni. La fonte non specifica se questo calcolo includa esclusivamente vulnerabilità Apple o abbia resoconto più ampio.

Cosa cambia

Il cambiamento di politica di Apple introduce un elemento di incertezza per le organizzazioni che gestiscono dispositivi iOS. Non essendo chiaro se il nuovo ritmo sia permanente o sperimentale, né quanto più frequente sarà il ciclo, i team di sicurezza non possono ancora ricalibrare i processi su base definitiva.

La frequenza maggiore delle patch, se confermata, non altera un deficit architetturale noto. Secondo Cole, "iOS è l'unica piattaforma di calcolo largamente usata al mondo che non ha un vero framework di sicurezza su di essa". La mancanza di un layer XDR o EDR di terze parti significa che il dispositivo dipende esclusivamente dalla velocità e dall'accuratezza del vendor.

Cole ha aggiunto: "Penso che il patching più frequente aiuti, ma non colmi completamente il divario, perché resta un unico punto di difesa senza fallback se qualcosa sfugge. E contro la scoperta accelerata dall'AI, qualcosa sfuggirà". Questa è un'analisi del CEO di iVerify, non una dichiarazione di Apple.

Fonti e limiti

Questo articolo si basa principalmente su una fonte editoriale strutturata (Dark Reading), che riporta dichiarazioni di Apple via Reuters e intervista a Rocky Cole di iVerify. I dettagli sulle CVE derivano da record NVD separati. Non è stato possibile verificare indipendentemente le dichiarazioni di Apple né i dati Mandiant citati da Cole. Le informazioni sui tempi di exploitation, sulla natura sperimentale o permanente del cambiamento e sull'ambito del calcolo Mandiant presentano limiti di specificità non risolvibili con le fonti disponibili.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. darkreading.com
  2. support.apple.com
  3. nvd.nist.gov