Apple ha rilasciato aggiornamenti di sicurezza d'emergenza per correggere due vulnerabilità zero-day attivamente sfruttate in un attacco altamente sofisticato rivolto a individui specifici. Le falle, identificate come CVE-2025-43529 e CVE-2025-14174, colpiscono il motore di rendering WebKit e rappresentano il settimo e ottavo zero-day che l'azienda di Cupertino ha dovuto neutralizzare nel corso del 2025, segnalando un anno particolarmente intenso sul fronte delle minacce informatiche mirate. La scoperta congiunta da parte del Threat Analysis Group di Google e dei team interni di Apple suggerisce una campagna coordinata di portata significativa, probabilmente legata a software di sorveglianza di livello governativo.
La prima vulnerabilità, CVE-2025-43529, è una falla di tipo use-after-free nel motore WebKit che consente l'esecuzione remota di codice arbitrario attraverso l'elaborazione di contenuti web costruiti ad hoc. Questo tipo di difetto si verifica quando il sistema tenta di accedere a memoria già liberata, creando una condizione sfruttabile per l'iniezione di payload malevoli. La seconda falla, CVE-2025-14174, riguarda invece un problema di corruzione della memoria sempre in WebKit, con potenziali conseguenze altrettanto gravi per l'integrità del dispositivo.
L'aspetto più interessante dal punto di vista tecnico è la divulgazione coordinata tra Apple e Google: inizialmente il colosso di Mountain View aveva pubblicato una correzione per Chrome etichettandola misteriosamente come "Under coordination", salvo poi rivelare che si trattava della stessa CVE-2025-14174 corretta da Apple. Questo conferma che la vulnerabilità non riguardava solo l'implementazione di WebKit su iOS, ma anche ANGLE, il layer di traduzione grafica utilizzato da Chrome, evidenziando come le moderne architetture web condividano componenti critici tra diversi ecosistemi.
La lista dei dispositivi interessati è ampia e comprende iPhone 11 e successivi, iPad Pro dalla terza generazione in poi (modelli da 12,9 pollici) e dalla prima generazione per i modelli da 11 pollici, iPad Air di terza generazione e successivi, iPad standard dall'ottava generazione, oltre agli iPad mini dalla quinta generazione. Le patch sono state distribuite attraverso iOS 26.2 e iPadOS 26.2, ma anche nelle versioni precedenti ancora supportate come iOS 18.7.3 e iPadOS 18.7.3, oltre che in macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 e Safari 26.2.
Il pattern di sfruttamento suggerisce con alta probabilità l'utilizzo di spyware commerciale di livello militare, simile a quanto già osservato con NSO Group e altre società specializzate in strumenti di sorveglianza. La natura "estremamente sofisticata" dell'attacco, secondo la terminologia utilizzata da Apple, indica una catena di exploit multi-stadio con tecniche avanzate di evasione delle protezioni di sicurezza integrate in iOS, come il sandboxing delle applicazioni e la protezione della memoria basata su pointer authentication code (PAC).
Questo episodio si inserisce in una sequenza preoccupante per l'ecosistema Apple: dopo CVE-2025-24085 a gennaio, CVE-2025-24200 a febbraio, CVE-2025-24201 a marzo, la doppia correzione di aprile con CVE-2025-31200 e CVE-2025-31201, e il backport di settembre per CVE-2025-43300 su dispositivi più datati con iOS 15.8.5 e 16.7.12, il totale raggiunge ora sette vulnerabilità zero-day nel 2025. Un ritmo che sottolinea l'intensificarsi degli sforzi da parte di attori ostili per bucare le difese di iOS, tradizionalmente considerato uno degli ambienti mobile più sicuri.
Per gli utenti europei, dove le normative sulla privacy come il GDPR impongono standard elevati di protezione dei dati personali, l'installazione immediata degli aggiornamenti diventa ancora più critica. Sebbene gli attacchi siano stati mirati e non rappresentino una minaccia di massa, la natura delle vulnerabilità WebKit significa che chiunque visiti un sito compromesso potrebbe teoricamente essere esposto. Apple non ha rilasciato il proprio rapporto sulla telemetria degli exploit, ma la rapidità della correzione e il coinvolgimento del Threat Analysis Group di Google indicano che la finestra di esposizione sia stata relativamente breve prima della scoperta.