Impatto Sistemico

Critico (75.76)

Sintesi

Apple ha rilasciato un aggiornamento di sicurezza per sanare una vulnerabilità di tipo 0-day presente nel motore di rendering web WebKit. Tale vulnerabilità potrebbe permettere l’esecuzione di codice arbitrario sui dispositivi interessati.

Note : il vendor afferma che la CVE-2025-24201 risulta essere sfruttata attivamente in rete.

Tipologia

• Security Feature Bypass
• Arbitrary Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità CVE-2025-24201 relativa al WebKit, motore di rendering web di Apple utilizzato principalmente nei browser Safari e in altre applicazioni che necessitano di visualizzare contenuti web.

Tale vulnerabilità – di tipo “Out-of-Bounds Write” e con score CVSS v3.1 pari a 7.1 – può essere utilizzata per eludere i meccanismi di sicurezza presenti nella sandbox di WebKit, tramite contenuti web opportunamente predisposi, al fine di eseguire codide arbitrario sulle istanze vulnerabili.

Prodotti e/o versioni affette

Apple

• iOS, versioni precedenti alla 18.3.2
• iPadOS, versioni precedenti alla 18.3.2
• macOS Sequoia, versioni precedenti alla 15.3.2
• visionOS, versioni precedenti alla 2.3.2
• Safari, versioni precedenti alla 18.3.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.