NUOVOOra puoi ascoltare gli articoli di Fox Information!
Apple ha rilasciato aggiornamenti di sicurezza di emergenza per correggere due vulnerabilità zero-day che gli aggressori hanno sfruttato attivamente in attacchi altamente mirati.
L’azienda ha descritto l’attività come un “attacco estremamente sofisticato” rivolto a individui specifici. Sebbene Apple non abbia identificato gli aggressori o le vittime, la portata limitata suggerisce fortemente operazioni in stile adware piuttosto che una diffusa criminalità informatica.
Entrambi i difetti colpiscono WebKit, il motore del browser dietro Safari e tutti i browser su iOS. Di conseguenza, il rischio è significativo. In alcuni casi, la semplice visita di una pagina Net dannosa può essere sufficiente per attivare un attacco.
Di seguito, analizziamo il significato di queste vulnerabilità e spieghiamo come puoi proteggerti meglio.
Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.
Apple ha rilasciato aggiornamenti di emergenza dopo aver confermato che due difetti WebKit zero-day sono stati attivamente sfruttati in attacchi mirati. (Reuters/Thomas Peter/Foto d’archivio)
LA NUOVA TRUFFA PER IPHONE CONVINCE I PROPRIETARI A REGALARE I TELEFONO
Cosa cube Apple sulle vulnerabilità zero-day
Le due vulnerabilità vengono tracciate come CVE-2025-43529 e CVE-2025-14174 e Apple ha confermato che entrambe sono state sfruttate negli stessi attacchi nel mondo reale. Secondo il bollettino sulla sicurezza di Apple, le falle sono state sfruttate nelle versioni di iOS rilasciate prima di iOS 26 e gli attacchi erano limitati a “individui specifici presi di mira”.
CVE-2025-43529 è una vulnerabilità use-after-free di WebKit che può portare all’esecuzione di codice arbitrario quando un dispositivo elabora contenuti Net dannosi. In parole povere, consente agli aggressori di eseguire il proprio codice su un dispositivo inducendo il browser a gestire in modo errato la memoria. Apple ha attribuito al Menace Evaluation Group di Google il merito di aver scoperto questa falla, che spesso è un forte indicatore di attività adware commerciale o nazionale.
Anche il secondo difetto, CVE-2025-14174, è un problema di WebKit, questa volta legato al danneggiamento della memoria. Sebbene Apple descriva l’impatto come corruzione della memoria piuttosto che esecuzione diretta del codice, questi tipi di bug sono spesso concatenati insieme advert altre vulnerabilità per compromettere completamente un dispositivo. Apple afferma che questo problema è stato scoperto congiuntamente da Apple e dal Menace Evaluation Group di Google.
In entrambi i casi, Apple ha riconosciuto di essere a conoscenza di rapporti che confermavano lo sfruttamento attivo in natura. Questo linguaggio è importante perché Apple in genere lo riserva a situazioni in cui si sono già verificati attacchi, non solo a rischi teorici. L’azienda afferma di aver risolto i bug attraverso una migliore gestione della memoria e migliori controlli di convalida, senza condividere dettagli tecnici più profondi che potrebbero aiutare gli aggressori a replicare gli exploit.
Dispositivi interessati e segnali di divulgazione coordinata
Apple ha rilasciato patch sui suoi sistemi operativi supportati, incluse le ultime versioni di iOS, iPadOS, macOS, Safari, watchOS, tvOS e visionOS.
Secondo l’avviso di Apple, i dispositivi interessati includono iPhone 11 e modelli più recenti, numerous generazioni di iPad Professional, iPad Air dalla terza generazione in poi, iPad di ottava generazione e successivi e iPad mini a partire dalla quinta generazione. Ciò copre la stragrande maggioranza degli iPhone e iPad ancora in uso attivo oggi.
Apple ha corretto i difetti in tutto il suo ecosistema. Le correzioni sono disponibili in iOS 26.2 e iPadOS 26.2, iOS 18.7.3 e iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 e Safari 26.2. Poiché Apple richiede che tutti i browser iOS utilizzino WebKit dietro le quinte, lo stesso problema di fondo ha interessato anche Chrome su iOS.
6 passaggi che puoi eseguire per proteggerti da tali vulnerabilità
Ecco sei passaggi pratici che puoi intraprendere per rimanere al sicuro, soprattutto alla luce di attacchi zero-day altamente mirati come questo.
EMAIL DI SUPPORTO REALE APPLE UTILIZZATE NELLA NUOVA TRUFFA DI PHISHING
Poiché WebKit è alla base di Safari e di tutti i browser iOS, anche una pagina Net dannosa potrebbe essere sufficiente per mettere a rischio i dispositivi senza patch. (Jakub Porzycki/NurPhoto tramite Getty Photographs)
1) Installa gli aggiornamenti non appena vengono rilasciati
Sembra ovvio, ma conta più di ogni altra cosa. Gli attacchi zero-day si basano su persone che utilizzano software program obsoleti. Se Apple invia un aggiornamento di emergenza, installalo lo stesso giorno, se puoi. Ritardare gli aggiornamenti è spesso l’unica cosa di cui hanno bisogno gli aggressori. Se tendi a dimenticare gli aggiornamenti, lascia che siano i tuoi dispositivi a gestirli per te. Abilita gli aggiornamenti automatici per iOS, iPadOS, macOS e Safari. In questo modo sei protetto anche se ti perdi le notizie o sei in viaggio.
2) Fai attenzione ai hyperlink, anche di persone che conosci
La maggior parte degli exploit WebKit iniziano con contenuti Net dannosi. Evita di toccare collegamenti casuali inviati tramite SMS, WhatsApp, Telegram o e-mail a meno che non te li aspetti. Se qualcosa non va, apri il sito più tardi digitando tu stesso l’indirizzo.
Il modo migliore per proteggerti da collegamenti dannosi che installano malware, accedendo potenzialmente alle tue informazioni non-public, è avere un software program antivirus installato su tutti i tuoi dispositivi. Questa protezione può anche avvisarti di e-mail di phishing e truffe ransomware, mantenendo al sicuro le tue informazioni personali e le tue risorse digitali.
Scopri le mie scelte sui migliori vincitori della protezione antivirus del 2025 per i tuoi dispositivi Home windows, Mac, Android e iOS su Cyberguy.com.
3) Utilizzare una configurazione di navigazione in stile blocco
Se sei un giornalista, un attivista o qualcuno che si occupa di informazioni sensibili, valuta la possibilità di ridurre la tua superficie di attacco. Utilizza solo Safari, evita estensioni del browser non necessarie e limita la frequenza con cui apri i collegamenti all’interno delle app di messaggistica.
4) Attiva la modalità di blocco se ti senti a rischio
La modalità Lockdown di Apple è progettata specificamente per attacchi mirati. Limita determinate tecnologie Net, blocca la maggior parte degli allegati ai messaggi e limita i vettori di attacco comunemente utilizzati dallo adware. Non è per tutti, ma esiste per situazioni come questa.
5) Ridurre i dati personali esposti
Gli attacchi mirati spesso iniziano con la profilazione. Più dati personali su di te circolano on-line, più facile sarà sceglierti come bersaglio. La rimozione dei dati dai siti dei dealer e il rafforzamento delle impostazioni sulla privateness dei social media possono ridurre la tua visibilità.
Sebbene nessun servizio possa garantire la rimozione completa dei tuoi dati da Web, un servizio di rimozione dati è davvero una scelta intelligente. Non sono economici e nemmeno la tua privateness. Questi servizi fanno tutto il lavoro per te monitorando attivamente e cancellando sistematicamente le tue informazioni personali da centinaia di siti internet. È ciò che mi dà tranquillità e ha dimostrato di essere il modo più efficace per cancellare i tuoi dati personali da Web. Limitando le informazioni disponibili, riduci il rischio che i truffatori incrocino i dati delle violazioni con le informazioni che potrebbero trovare sul darkish internet, rendendo più difficile per loro prenderti di mira.
Dai un’occhiata alle mie migliori scelte per i servizi di rimozione dati e ottieni una scansione gratuita per scoprire se le tue informazioni personali sono già disponibili sul Net visitando Cyberguy.com.
Ottieni una scansione gratuita per scoprire se le tue informazioni personali sono già presenti sul internet: Cyberguy.com.
Apple esorta gli utenti a installare gli ultimi aggiornamenti, in particolare quelli che potrebbero dover affrontare minacce mirate a rischio più elevato. (Cheng Xin/Getty Photographs)
6) Prestare attenzione al comportamento insolito del dispositivo
Arresti anomali imprevisti, surriscaldamento, consumo improvviso della batteria o chiusura automatica di Safari a volte possono essere segnali di allarme. Ciò non significa automaticamente che il tuo dispositivo sia compromesso. Tuttavia, se qualcosa sembra costantemente sbagliato, aggiornare immediatamente e ripristinare il dispositivo è una mossa intelligente.
Il punto chiave di Kurt
Apple non ha condiviso dettagli su chi è stato preso di mira o su come sono stati sferrati gli attacchi. Tuttavia, il modello si adatta perfettamente alle precedenti campagne adware incentrate su giornalisti, attivisti, personaggi politici e altri soggetti di interesse per gli operatori di sorveglianza. Con queste patch, Apple ha ora risolto sette vulnerabilità zero-day che sono state sfruttate in modo selvaggio solo nel 2025. Ciò embrace i difetti rivelati all’inizio di quest’anno e una correzione backport a settembre per i dispositivi più vecchi.
Hai già installato l’ultimo aggiornamento iOS o iPadOS o stai ancora rimandando? Fatecelo sapere scrivendoci a Cyberguy.com.
CLICCA QUI PER SCARICARE L’APP FOX NEWS
Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.
Copyright 2025 CyberGuy.com. Tutti i diritti riservati.
