Zero day in WebKit sfruttata in attacchi sofisticati: la patch Apple è urgente

Apple ha rilasciato aggiornamenti di sicurezza di emergenza per correggere una vulnerabilità zero-day che l’azienda descrive come sfruttata in attacchi “estremamente sofisticati”.

“L’aspetto interessante dell’aggiornamento pubblicato da Apple, a seguito della vulnerabilità zero day CVE-2025-24201, è che la società di Cupertino ha confermato che esiste un report che riporta come tale falla sia stata sfruttata per un attacco sofisticato nei confronti di specifici individui”, commenta Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser.

La vulnerabilità zero-day in WebKit

La vulnerabilità risiede nel motore del browser web multipiattaforma WebKit, utilizzato dal browser web Apple Safari e da molte altre app e browser web su macOS, iOS, Linux e Windows.

“Questa è una correzione supplementare per un attacco che è stato bloccato in iOS 17.2”, ha dichiarato il produttore di iPhone negli avvisi di sicurezza pubblicati martedì. “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici su versioni di iOS precedenti a iOS 17.2”.

Apple ha dichiarato che gli aggressori possono sfruttare la vulnerabilità CVE-2025-24201 utilizzando contenuti web creati ad arte per uscire dalla sandbox dei contenuti web.

“Non si tratta, quindi, semplicemente di un rimedio a vulnerabilità scoperte dai ricercatori, ma di un tentativo di fermare attacchi che probabilmente sono ancora in corso e che sfruttano la navigazione su web per infettare le vittime“, avverte Paolo Dal Checco.

L’azienda ha sanato questa falla, migliorando i controlli per prevenire azioni non autorizzate nei sistemi operativi aggiornati.

La società di Cupertino non ha ancora attribuito la scoperta di questa vulnerabilità di sicurezza a uno dei suoi ricercatori e non ha ancora pubblicato i dettagli relativi agli attacchi “estremamente sofisticati” a cui l’ha collegata.

“Apple ancora non ha fornito dettagli sulle vittime degli attacchi, ma non possiamo escludere che possa averli avvisati direttamente o che pubblicherà presto ulteriori particolari di questo fantomatico ‘report’”, sottolinea Dal Checco.

I dettagli del problema di sicurezza nei sistemi operativi Apple

“In sostanza i malintenzionati sono (o meglio erano, prima dell’aggiornamento di Apple) in grado di eseguire codice sugli iPhone, iPad e persino Macbook o Apple Vision di chi visita siti contenenti un particolare codice tramite un browser basato su Webkit, come ad esempio Safari. Una volta aperta la breccia nel browser e usciti dalla ‘sandbox’ (cioè dal luogo sicuro e isolato dal resto del sistema nel quale il browser esegue il codice) è possibile per gli attaccanti fare qualunque cosa: installare software spia, rubare le password anche di altri programmi, infettare applicazioni”, spiega Paolo Dal Checco.

“Per compromettere un dispositivo era quindi sufficiente infettare un sito visitato abitualmente dalla vittima oppure predisporne uno ad hoc e convincerla a visitarlo. Questa facilità ha reso particolarmente pericoloso questo attacco, dato che la vittima di questo attacco può fare poco per difendersi, se non ha aggiornato il sistema operativo alla versione contenente il fix alla vulnerabilità”.

I dispostivi che devono aggiornarsi

Apple invita tutti ad aggiornare i suoi sistemi operativi all’ultima versione: iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 e Safari 18.3.1

L’elenco dei dispositivi colpiti da questo zero-day è piuttosto ampio, in quanto il bug interessa modelli vecchi e nuovi, tra cui:

• iPhone XS e successivi;
• iPad Pro 13 pollici;
• iPad Pro 12,9 pollici di terza generazione e successivi;
• Pad Pro 11 pollici di prima generazione e successivi;
• iPad Air di terza generazione e successivi;
• iPad di settima generazione e successivi;
• il modello mini di quinta generazione e successivi;
• Mac con macOS Sequoia;
• Apple Vision Pro.

Le altre patch corrette da Apple

Anche se gli aggressori hanno probabilmente sfruttato la falla zero-day solo in attacchi mirati, l’installazione degli aggiornamenti di sicurezza di oggi sono urgenti.

Gli update sono altamente raccomandati, per bloccare i tentativi di attacco potenzialmente in corso.

Insieme a questa vulnerabilità, Apple ha corretto anche altre tre zero-day dall’inizio dell’anno, il primo a gennaio (CVE-2025-24085) e il secondo a febbraio (CVE-2025-24200).

L’anno scorso, l’azienda ha corretto altri sei zero-day, sfruttati in the wild: il primo a gennaio, due a marzo, un quarto a maggio e altri due a novembre.

L’anno precedente, Apple aveva rilasciato patch per risolvere 20 vulnerabilità zero-day sfruttate in attacchi.