Apple: update per risolvere vulnerabilità zero-day in WebKit

Apple ha emesso un aggiornamento di sicurezza critico per correggere una vulnerabilità zero-day che potrebbe essere stata sfruttata in attacchi altamente sofisticati. Questo problema, identificato come CVE-2025-24201, riguarda WebKit, il motore di rendering utilizzato dal browser Safari e da numerose altre applicazioni su macOS, iOS, Linux e Windows.

Secondo Apple, la vulnerabilità è stata sfruttata in attacchi mirati contro determinati individui, in particolare su versioni di iOS precedenti alla 17.2. L'azienda ha precisato che si trattava di un attacco molto complesso, bloccato nella versione più recente di iOS, 17.2, ma che potrebbe aver colpito utenti con dispositivi più vecchi. Gli aggressori possono sfruttare questa falla utilizzando contenuti web dannosi progettati per aggirare la sandbox di Web Content di WebKit, consentendo loro di eseguire codice non autorizzato sui dispositivi vulnerabili.

La correzione di questo bug, presente in versioni precedenti di iOS e di altri sistemi operativi Apple, è stata inclusa nell'aggiornamento di sicurezza più recente. Apple ha introdotto miglioramenti nei controlli per prevenire scritture fuori dai limiti, che potevano compromettere il sistema. Gli utenti di iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 e Safari 18.3.1 sono ora protetti contro questo problema.

Un aggiornamento anche per i dispositivi più vecchi

Questo aggiornamento di sicurezza riguarda una vasta gamma di dispositivi, dai modelli più recenti a quelli più vecchi, tra cui iPhone XS e successivi, iPad Pro (da 13 pollici a 12,9 pollici, dalla terza generazione in poi), iPad Air (a partire dalla terza generazione), iPad mini (a partire dalla quinta generazione) e i modelli di Mac con macOS Sequoia. Anche Apple Vision Pro è incluso tra i dispositivi che necessitano l'aggiornamento.

Nonostante sia probabile che il bug sia stato utilizzato solo in attacchi mirati, Apple consiglia a tutti gli utenti di installare urgentemente gli aggiornamenti di sicurezza per evitare possibili tentativi di sfruttamento. Questo aggiornamento si aggiunge ai tre zero-day già corretti da Apple nel 2024, continuando il suo impegno per migliorare la sicurezza e proteggere gli utenti dalle minacce online.