Apple ha recentemente rilasciato aggiornamenti di sicurezza per tutto il suo portafoglio software, affrontando una vulnerabilità critica che aveva già colpito anche Google Chrome come zero-day. La falla, identificata come CVE-2025-6558 con un punteggio CVSS di 8.8, riguarda una non corretta validazione degli input non fidati nei componenti ANGLE e GPU dei browser. Questa debolezza poteva permettere a un attaccante di evadere la sandbox del browser tramite una pagina HTML appositamente creata, esponendo così gli utenti a possibili exploit.

Scoperta e risposta alla vulnerabilità

Google aveva già riconosciuto che un exploit per questa vulnerabilità era attivamente utilizzato in attacchi reali. Il problema è stato scoperto dal Threat Analysis Group di Google, che ha prontamente notificato sia la propria comunità di utenti sia Apple. Proprio quest’ultima, nel più recente ciclo di aggiornamenti software, ha incluso una patch specifica per CVE-2025-6558, sottolineando come la vulnerabilità impattasse direttamente WebKit, il motore di rendering alla base di Safari.

Piattaforme e versioni interessate

Secondo l’avviso di sicurezza pubblicato da Apple, questa vulnerabilità in codice open source può essere sfruttata per causare crash improvvisi o comportamenti inaspettati di Safari quando si processano contenuti web malevoli. La correzione è stata distribuita su diverse piattaforme e versioni dei sistemi operativi Apple:

• iOS 18.6 e iPadOS 18.6 per iPhone XS e modelli successivi, diversi modelli di iPad Pro, iPad Air, iPad mini e iPad standard
• iPadOS 17.7.9 per dispositivi più datati
• macOS Sequoia 15.6 per i Mac
• tvOS 18.6 per Apple TV
• watchOS 11.6 per Apple Watch serie 6 e successive
• visionOS 2.6 per Apple Vision Pro

Consigli per la sicurezza degli utenti

Nonostante al momento non vi siano prove che la vulnerabilità sia stata usata per attacchi mirati contro utenti di dispositivi Apple, la raccomandazione è quella di aggiornare tempestivamente tutti i dispositivi alle versioni più recenti del software. Aggiornare rappresenta sempre la migliore difesa contro exploit zero-day e minacce informatiche, specialmente quando si tratta di browser, spesso bersaglio principale di cybercriminali.

Collaborazione nella gestione delle vulnerabilità

La tempestività nella gestione di vulnerabilità come CVE-2025-6558 è fondamentale per la sicurezza di milioni di utenti in tutto il mondo, confermando l’importanza di una pronta collaborazione tra i principali attori del settore tecnologico per garantire la protezione dei dati e delle identità digitali.