Impatto Sistemico

Critico (79.23)

Sintesi

Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulenrabilità. Tra queste si evidenziano 2 zero-day – CVE-2025-14174 e CVE-2025-43529 – che interessano la componente WebKit, il motore del browser Safari, che potrebbero permettere l’esecuzione di codice da remoto sui dispositivi interessati.

Tipologie

• Remote Code Execution
• Tampering
• Information Disclosure
• Privilege Escalation

Descrizione e potenziali impatti

Apple ha recentemente rilasciato aggiornamenti di sicurezza per i propri prodotti. Tra queste si evidenziano 2 vulnerabilità di tipo zero-day riguardant i la componente WebKit, il motore del browser Safari, per le quali è stato rilevato lo sfruttamento attivo in rete.

Nel dettaglio, la vulnerabilità, tracciate tramite le CVE-2025-14174 e CVE-2025-43529, rispettivamente con score CVSS v3.x pari a 8.8 e 9.8, risultano essere di tipo “ Memory Corruption ” e “ Arbitrary Code Execution ”. Entrambe le vulnerabilità consentono l’esecuzione di codice remoto sui dispositivi target attraverso richieste HTML malevoli appositamente predisposte.

Le tecniche di exploitation, basate su corruzione della memoria nel motore WebKit, risultano funzionali all’iniezione di payload persistenti tramite vettori zero-interaction, tipici di attori dotati di capacità offensive avanzate (Advanced Persistent Threat).

Prodotti e/o versioni affette

iOS

• versioni precedenti alla 26.2
• versioni precedenti alla 18.7.3

iPadOS

• versioni precedenti alla 26.2
• versioni precedenti alla 18.7.3

macOS Tahoe, versioni precedenti alla 26.2

tvOS, versioni precedenti alla 26.2

watchOS, versioni precedenti alla 26.2

visionOS, versioni precedenti alla 26.2

Safari, versioni precedenti alla 26.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.