CSIRT Toscana Aggiornamenti di sicurezza Apple (AL02/260212/CSIRT-ITA)
Data:
12 Febbraio 2026
Impatto Sistemico
Critico (76.28)
Sintesi
Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità. Tra queste se ne evidenzia una di tipo zero-day – CVE-2026-20700 – che interessa un componente fondamentale del sistema operativo denominato “dyld” (Dynamic Link Editor). Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’esecuzione di codice arbitrario sui dispositivi interessati.
Tipologie
- Arbitrary Code Execution
- Arbitrary File Write/Delete
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Security Restrictions Bypass
- Tampering
Descrizione e potenziali impatti
Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità. Tra queste si evidenzia una vulnerabilità di tipo zero-day.
Nel dettaglio, la vulnerabilità – di tipo “ Memory Corruption ” e tracciata tramite la CVE-2026-20700 – risiede in un componente fondamentale del sistema operativo denominato “dyld”, linker dinamico dei sistemi operativi Apple che si occupa di caricare, collegare e inizializzare le librerie dinamiche necessarie ai programmi quando vengono avviati. La falla è dovuta alle modalità di gestione interna della memoria da parte di dyld: un attaccante con privilegi di scrittura in memoria potrebbe sfruttare la vulnerabilità al fine di manipolare le strutture interne di dyld mentre carica o inizializza librerie dinamiche, deviare il control flow verso payload malevoli ed eseguire codice arbitrario prima che il processo dell’app inizi realmente l’esecuzione.
Il vendor ha inoltre precisato che questa nuova vulnerabilità è collegata ad altre due vulnerabilità ( CVE‑2025‑14174 e CVE‑2025‑43529 ) che erano già state sanate in aggiornamenti precedenti.
Come affermato da ricercatori di sicurezza, sì ritiene che gli attaccanti stiano “concatenando” queste vulnerabilità in attacchi combinati per ottenere il controllo totale dei dispositivi interessati.
Prodotti e/o versioni affette
- iOS
- versioni precedenti alla 26.3
- versioni precedenti alla 18.7.5
- iPadOS
- versioni precedenti alla 26.3
- versioni precedenti alla 18.7.5
- macOS Tahoe, versioni precedenti alla 26.3
- macOS Sequoia, versioni precedenti alla 15.7.4
- macOS Sonoma, versioni precedenti alla 14.8.4
- tvOS, versioni precedenti alla 26.3
- watchOS, versioni precedenti alla 26.3
- visionOS, versioni precedenti alla 26.3
- Safari, versioni precedenti alla 26.3
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.
Riferimenti
- https://support.apple.com/en-sg/126346
- https://support.apple.com/en-sg/126347
- https://support.apple.com/en-sg/126348
- https://support.apple.com/en-sg/126349
- https://support.apple.com/en-sg/126350
- https://support.apple.com/en-sg/126351
- https://support.apple.com/en-sg/126352
- https://support.apple.com/en-sg/126353
- https://support.apple.com/en-sg/126354
- https://support.apple.com/en-sg/100100
CVE
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 12-02-2026 | 12/02/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
12 Febbraio 2026, 13:15