Apple ha rilasciato un aggiornamento di sicurezza di emergenza per risolvere due vulnerabilità zero-day attivamente sfruttate in attacchi altamente mirati. Le falle colpiscono WebKit, il motore alla base di Safari e di tutti i browser su iOS, rendendo l’aggiornamento urgente per milioni di utenti.
Cosa sono le vulnerabilità zero-day corrette da Apple
Apple ha confermato che le due falle, identificate come CVE-2025-43529 e CVE-2025-14174, erano già sfruttate in scenari reali prima della patch. Secondo l’azienda, si è trattato di un “attacco estremamente sofisticato” rivolto a individui specifici, un dettaglio che richiama operazioni di spyware mirato più che campagne di cybercrime su larga scala.
La prima vulnerabilità consente l’esecuzione di codice arbitrario tramite contenuti web malevoli, sfruttando una gestione errata della memoria (use-after-free). La seconda riguarda invece corruzione della memoria, una categoria di bug che spesso viene concatenata ad altre falle per ottenere il controllo completo del dispositivo. In entrambi i casi, la semplice visita a un sito compromesso potrebbe essere sufficiente su sistemi non aggiornati.
Dispositivi e sistemi operativi coinvolti
Le vulnerabilità interessano l’intero ecosistema Apple, poiché WebKit è obbligatorio per tutti i browser su iOS. Gli aggiornamenti di sicurezza sono disponibili per iPhone, iPad, Mac, Apple Watch, Apple TV e Vision Pro, inclusi Safari e i principali sistemi operativi supportati.
In particolare, risultano coinvolti iPhone 11 e successivi, numerose generazioni di iPad e la maggior parte dei dispositivi Apple ancora in uso. Questo rende l’intervento di Apple una delle patch di sicurezza più rilevanti del 2025.
Come proteggersi da attacchi zero-day mirati
Per ridurre il rischio associato a vulnerabilità zero-day come queste, è fondamentale adottare alcune buone pratiche:
- Installare immediatamente gli aggiornamenti di sicurezza, soprattutto quelli di emergenza.
- Prestare massima attenzione ai link, anche se arrivano da contatti fidati.
- Ridurre la superficie di attacco del browser, limitando estensioni e navigazione da app di messaggistica.
- Valutare la Modalità di Blocco di Apple se si è esposti a rischi elevati (giornalisti, attivisti, figure pubbliche).
- Limitare la diffusione dei propri dati personali online, rafforzando privacy e impostazioni social.
- Monitorare comportamenti anomali del dispositivo, come crash frequenti o consumo anomalo della batteria.
La tempestività degli aggiornamenti resta la difesa più efficace contro gli exploit zero-day.
Conclusione
Con questa patch, Apple ha già corretto sette vulnerabilità zero-day sfruttate nel solo 2025, confermando quanto il panorama delle minacce sia sempre più sofisticato. Aggiornare subito i dispositivi non è più un’opzione, ma una necessità.
Per approfondire il tema della sicurezza informatica e degli attacchi zero-day, puoi consultare fonti autorevoli come:
- https://support.apple.com/it-it/security
- https://www.cisa.gov
- https://blog.google/threat-analysis-group
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
