Apple corregge due difetti zero-day di WebKit sfruttati in sofisticati attacchi mirati
Apple ha rilasciato aggiornamenti di sicurezza il 12 dicembre 2025 per diversi sistemi operativi. Le correzioni risolvono due difetti critici nel motore del browser WebKit, identificati come CVE-2025-43529 e CVE-2025-14174. Le vulnerabilità Essas consentivano l’esecuzione di codice arbitrario o il danneggiamento della memoria durante l’elaborazione di contenuti Web dannosi.
L’azienda ha confermato che le falle sono state sfruttate in attacchi altamente mirati contro individui specifici nelle versioni precedenti di iOS. Uno di questi, CVE-2025-14174, ha interessato anche il browser Chrome di Google, che ha ricevuto una correzione separata il 10 dicembre.
Gli aggiornamenti riguardano iOS, iPadOS, macOS, tvOS, watchOS, visionOS e Safari. Usuários deve installare le versioni più recenti per mitigare i rischi.
Dettagli delle vulnerabilità risolte
CVE-2025-43529 è un problema use-after-free in WebKit. La falla Essa potrebbe consentire agli aggressori di eseguire codice arbitrario sui dispositivi interessati tramite pagine Web predisposte.
I ricercatori di Google Threat Analysis Group hanno identificato e segnalato il problema a Apple. L’exploit richiedeva solo che la vittima accedesse a contenuti dannosi in un browser.
CVE-2025-14174 comporta il danneggiamento della memoria nell’elaborazione dei contenuti web. Ela ha un punteggio CVSS di 8,8, che indica un’elevata gravità.
Questa stessa vulnerabilità ha colpito la libreria ANGLE su Chrome, con una correzione coordinata tra Apple e Google. Ambas i difetti riguardano WebKit, utilizzato obbligatoriamente in tutti i browser su iOS e iPadOS.
- Esecuzione di codice remoto senza ulteriore interazione da parte dell’utente.
- Potenziale installazione di spyware sui dispositivi di destinazione.
- Esplorazione limitata a campagne mirate, non di massa.
Versioni aggiornate e dispositivi compatibili
I fix arrivano attraverso versioni specifiche per ogni piattaforma. Para Gli aggiornamenti iOS e iPadOS sono iOS 26.2 e iPadOS 26.2, oltre a iOS 18.7.3 e iPadOS 18.7.3 per i modelli precedenti.
Coprono iPhone dalla XS in poi, iPad delle ultime generazioni e iPad mini compatibili. Su macOS Tahoe 26.2, l’aggiornamento si applica a Macs che esegue quella versione.
- tvOS 26.2: Apple TV HD e 4K tutti i modelli.
- watchOS 26.2: Apple Watch Series 6 e versioni successive.
- visionOS 26.2: Todos i modelli di Apple Vision Pro.
- Safari 26.2: Macs con macOS Sonoma o Sequoia.
Gli utenti ricevono gli aggiornamenti automaticamente o possono installarli manualmente dalle impostazioni del software.
Contesto delle esplorazioni zero-day nel 2025
Con queste correzioni, Apple raggiunge nove vulnerabilità zero-day sfruttate nel corso dell’anno. Anteriormente, l’azienda ha corretto difetti come CVE-2025-24085, CVE-2025-24200 e CVE-2025-24201 all’inizio del 2025.
Altri includevano CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 e CVE-2025-43300. Muitas di questi coinvolgevano componenti come Kernel o ImageIO.
La frequenza degli zero-day riflette l’interesse degli aggressori avanzati negli ecosistemi Apple. Colaborações con gruppi come Google TAG ha aiutato a rilevare rapidamente queste minacce.
Questi incidenti evidenziano l’importanza di aggiornamenti regolari sui dispositivi mobili e desktop.
Caratteristiche tecniche del WebKit
WebKit funge da motore di rendering open source utilizzato in Safari. Su iOS e iPadOS, tutti i browser di terze parti, inclusi Chrome, Edge e Firefox, dipendono da esso a causa di restrizioni di sicurezza.
Ciò rende i difetti di WebKit particolarmente critici per gli utenti Apple. Ataques può sfruttare browser alternativi senza la necessità di app dannose.
Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys
Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4
L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti
La libreria ANGLE, coinvolta in CVE-2025-14174, gestisce la grafica WebGL. Problemas in questo livello influisce sul rendering su più piattaforme.
I miglioramenti nella gestione della memoria risolvono gli arresti anomali segnalati.
Collaborazione tra Apple e Google
La scoperta congiunta riflette il coordinamento tra i team di sicurezza. Google TAG e Apple SEAR hanno lavorato insieme per identificare CVE-2025-14174.
Google ha applicato per la prima volta la patch al desktop Chrome il 10 dicembre. Apple è seguito con aggiornamenti estesi due giorni dopo.
Questa partnership accelera le risposte alle minacce condivise nei componenti open source. Explorações ne consiglia l’uso in campagne di spyware mercenari.
Altre correzioni nello stesso aggiornamento
Gli aggiornamenti includono patch per oltre 20 difetti aggiuntivi in vari componenti. Problemas in Kernel, come l’overflow di numeri interi, potrebbe consentire l’escalation dei privilegi.
Anche i difetti in framework come FaceTime, Messages e App Store vengono risolti. Algumas comportava un accesso improprio a dati sensibili.
- CVE-2025-46285: Overflow su Kernel con potenziale root.
- Problemi su Screen Time che mostrano la cronologia di navigazione.
- Correzioni in curl e altri moduli di rete.
Questi miglioramenti generali rafforzano la sicurezza complessiva dei sistemi.
Raccomandazioni per gli utenti
Gli esperti consigliano l’installazione immediata degli aggiornamenti disponibili. Sul tuo iPhone o iPad, vai a Ajustes > Geral > Atualização di Software.
Su Macs, usa Preferências di Sistema o Configurações per verificare la presenza di aggiornamenti. Le versioni precedenti di Dispositivos ricevono versioni con supporto esteso come iOS 18.7.3.
Il mantenimento di backup regolari integra le misure di protezione. Evitar link sospetti riducono il rischio di sfruttamento via web. Gli Stati Uniti Agência di Cibersegurança hanno aggiunto uno dei difetti al catalogo delle vulnerabilità sfruttate note.
Evoluzione delle minacce ai dispositivi Apple
Lo sfruttamento delle falle di WebKit rimane comune negli attacchi mirati. Negli anni precedenti, vulnerabilità simili hanno reso più semplice l’installazione di strumenti di sorveglianza.
La risposta rapida di Apple limita l’impatto di queste campagne. L’attenzione agli attacchi sofisticati indica obiettivi di alto profilo come giornalisti o attivisti.
Il monitoraggio continuo da parte di team interni ed esterni mantiene efficiente il rilevamento.
Veja Tambem em Notizie (IT)
Uno sconto significativo sul Galaxy S25 Plus riduce il valore a meno di 4500 reais nel negozio online
Il nuovo Resident Evil di Zach Cregger ignora i giochi e si concentra su una storia senza precedenti con nuovi personaggi
Le voci suggeriscono che Nintendo stia preparando un’edizione speciale di Switch 2 con un remake di Ocarina of Time
Apple accelera la produzione dell’iPhone 17e e sviluppa il nuovo modello Air con sistema a doppia fotocamera
La piattaforma Epic Games rilascia dodici giochi ad alto budget senza costi permanenti per gli utenti di PC
Il calo dei prezzi di PlayStation 5 Pro accelera le vendite al dettaglio digitali ed elimina le scorte globali
Il progetto commemorativo di Apple testa il cellulare con bordo da 1,1 millimetri e schermo curvo per il 2027
Il nuovo aggiornamento del sistema Apple ottimizza la gestione delle attività urgenti per gli utenti iPhone
Trapelano dettagli sull’hardware della nuova PlayStation portatile con grafica superiore a Xbox Series S
Oppo lancia ufficialmente il Find X9 Ultra in tutto il mondo con obiettivi Hasselblad e batteria robusta
Tim Cook svela i nuovi prototipi di iPhone e iPod per celebrare il cinquantesimo anniversario di Apple
