Apple ha rilasciato un aggiornamento critico di sicurezza con il rilascio di iOS 18.3, risolvendo una vulnerabilità zero-day sfruttata attivamente dagli hacker. Il difetto, identificato come CVE-2025-24085, colpisce iPhone, iPad e altri dispositivi Apple, sottolineando l'importanza di installare immediatamente questo aggiornamento.
La vulnerabilità CoreMedia
La falla nella sicurezza deriva da un difetto nel framework CoreMedia di Apple, che elabora i file multimediali. Conosciuta come bug “use-after-free”, questa vulnerabilità consentiva alle applicazioni dannose di elevare i privilegi di sistema, ponendo un rischio significativo per i dispositivi interessati. L'avviso di Apple indica che la falla potrebbe essere stata sfruttata per oltre un anno, prendendo di mira dispositivi con versioni iOS precedenti alla 17.2, rilasciata a dicembre 2023.
Gli hacker probabilmente hanno sfruttato questo bug attraverso app false progettate per manipolare file multimediali, prendendo potenzialmente di mira individui di alto valore. Sebbene Apple non abbia rivelato dettagli sugli attacchi o sulla loro portata, il periodo di sfruttamento prolungato evidenzia la gravità della vulnerabilità.
Dispositivi interessati
La vulnerabilità colpisce un’ampia gamma di dispositivi Apple, tra cui:
- iPhone: Tutti i modelli dall'iPhone XS in poi.
- iPad: iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione e successive), iPad (7a generazione e successive) e iPad mini (5a generazione e successive).
- Mac: Sistemi che eseguono macOS Sequoia 15.3 e versioni precedenti.
- Orologi Apple: Serie 6 e successive.
- Apple TV: modelli HD e 4K.
- Visione Pro: le cuffie di punta di Apple.
Altre vulnerabilità risolte in iOS 18.3
Oltre al difetto CoreMedia, iOS 18.3 risolve molti altri problemi di sicurezza, tra cui:
- Exploit dell'app Foto: gli aggressori con accesso fisico potrebbero aggirare le protezioni della schermata di blocco per accedere alle foto private.
- Vulnerabilità di AirPlay: Sono stati risolti i bug che consentivano l'esecuzione di codice dannoso e gli arresti anomali delle app.
- Problemi a livello di kernel: gli exploit che consentivano alle app di ottenere privilegi di root sono stati risolti, migliorando l'integrità del sistema.
- Bug di WebKit: le vulnerabilità che interessano il motore web di Safari sono state risolte, migliorando la sicurezza della navigazione.
Perché dovresti aggiornare adesso
Questo segna la prima patch zero-day dell’anno di Apple, sottolineando l’urgenza dell’aggiornamento. Con oltre 20 vulnerabilità risolte sulle sue piattaforme, l'aggiornamento iOS 18.3 migliora significativamente la sicurezza del dispositivo.
Si consiglia agli utenti di abilitare gli aggiornamenti automatici o installare manualmente la patch accedendo a Impostazioni >Generale>Aggiornamento del software.
Lettura consigliata:Microsoft Edge risolve la vulnerabilità 0-day: conferma che tutti i browser basati su Chromium sono vulnerabili