Vulnerabilità CVE-2025-24201

Entro Mezo nel Vulnerabilità

Traduci in:

Apple ha annunciato il rilascio di un aggiornamento di sicurezza critico per correggere una vulnerabilità zero-day, identificata come CVE-2025-24201. Questa falla, che è stata sfruttata attivamente in attacchi "estremamente sofisticati", colpisce il motore del browser Web WebKit. Il problema riguarda una vulnerabilità di scrittura fuori limite che potrebbe consentire agli aggressori di bypassare il sandbox dei contenuti Web, compromettendo potenzialmente la sicurezza del dispositivo.

Sommario

CVE-2025-24201: I dettagli tecnici

La vulnerabilità CVE-2025-24201 è classificata come scrittura fuori dai limiti, un tipo di difetto che consente agli aggressori di creare contenuti Web non sicuri in grado di eseguire azioni non autorizzate. Sfruttando questo problema, gli aggressori potrebbero potenzialmente uscire dalla sandbox di WebKit e ottenere il controllo del dispositivo interessato. Apple ha risposto implementando controlli di sicurezza migliorati per impedire che si verifichino queste azioni non autorizzate. Questa patch funge anche da correzione supplementare per un attacco precedente che è stato bloccato in iOS 17.2.

Sfruttamento attivo negli attacchi mirati

Apple ha riconosciuto che la vulnerabilità potrebbe essere stata sfruttata in attacchi altamente sofisticati mirati a individui specifici. Tuttavia, l'azienda non ha divulgato dettagli come le origini degli attacchi, la base di utenti presa di mira o la durata dello sfruttamento. Inoltre, non è ancora chiaro se il difetto sia stato scoperto internamente dal team di sicurezza di Apple o segnalato da un ricercatore esterno.

Dispositivi interessati e versioni software

L'aggiornamento di sicurezza è disponibile per i seguenti dispositivi e versioni software:

iOS 18.3.2 e iPadOS 18.3.2: iPhone XS e successivi, iPad Pro da 13 pollici (3a generazione e successive), iPad Pro da 12,9 pollici (3a generazione e successive), iPad Pro da 11 pollici (1a generazione e successive), iPad Air (3a generazione e successive), iPad (7a generazione e successive) e iPad mini (5a generazione e successive).
macOS Sequoia 15.3.2: Mac con macOS Sequoia.
Safari 18.3.1: Mac con macOS Ventura e macOS Sonoma.
visionOS 2.3.2: Apple Vision Pro.

Gli sforzi continui di Apple per affrontare le vulnerabilità zero-day

Questa è la terza vulnerabilità zero-day che Apple ha patchato nel 2025. In precedenza, Apple aveva anche affrontato CVE-2025-24085 e CVE-2025-24200, evidenziando la crescente complessità degli attacchi informatici che prendono di mira l'ecosistema Apple. Queste patch tempestive sottolineano l'importanza di rimanere aggiornati con le ultime correzioni di sicurezza.

Come rimanere protetti

Apple esorta gli utenti ad aggiornare immediatamente i propri dispositivi per proteggersi da questa vulnerabilità. Per aggiornare i tuoi dispositivi:

iPhone e iPad : vai su Impostazioni > Generali > Aggiornamento software e installa l'ultimo aggiornamento.
Mac : apri Impostazioni di sistema > Generali > Aggiornamento software per applicare l'ultimo aggiornamento macOS.
Safari : gli utenti Mac di Ventura o Sonoma devono aggiornare Safari tramite Impostazioni di sistema > Aggiornamento software.
Apple Vision Pro : aggiorna VisionOS tramite Impostazioni > Generali > Aggiornamento software.

Restando aggiornati, gli utenti possono ridurre il rischio di sfruttamento di questa vulnerabilità zero-day e migliorare la sicurezza dei loro dispositivi Apple.

La rapida risposta di Apple a questa falla di sicurezza riflette gli sforzi in corso per proteggere gli utenti da sofisticati attacchi zero-day. Mentre la mancanza di trasparenza riguardo alla portata e all'origine degli attacchi solleva preoccupazioni, la patch fornisce una protezione cruciale per i dispositivi interessati. Gli utenti dovrebbero dare priorità agli aggiornamenti tempestivi per garantire una sicurezza continua contro le minacce informatiche in evoluzione.