La vulnerabilità CVE-2025-24201 colpisce Apple WebKit e consente l’esecuzione di codice arbitrario. Scopri aggiornamenti e misure di difesa.
I sistemi Apple sono da sempre considerati tra i più sicuri del mercato. La casa di Cupertino è nota per adottare un’architettura che combina hardware dedicato, sistemi operativi robusti e meccanismi avanzati di protezione come la crittografia e l’autenticazione biometrica. Tuttavia, anche l’ecosistema Apple non è immune da attacchi informatici e falle di sicurezza.
L’ultimo esempio è CVE-2025-24201, una falla zero-day individuata in WebKit, il motore di rendering alla base di Safari e di numerose applicazioni web per iOS, macOS, iPadOS e visionOS. Classificata con un punteggio CVSS di 8.8 su 10, questa vulnerabilità rappresenta una minaccia critica.
In questo articolo analizzeremo nel dettaglio il funzionamento della vulnerabilità, come può essere sfruttata dai cybercriminali e quali misure ha adottato Apple per mitigarne l’impatto. Infine, vedremo perché le falle legate a WebKit risultano particolarmente insidiose e quali contromisure adottare per difendersi efficacemente.
Che cos’è CVE-2025–24201
CVE‑2025‑24201 è una vulnerabilità zero-day di tipo out-of-bounds write, un errore di gestione della memoria che si verifica quando un programma scrive dati oltre l’area di memoria che gli è stata riservata. Nel caso specifico, il bug risiede nel motore WebKit e consente a un attaccante di eseguire codice arbitrario attraverso la semplice visualizzazione di una pagina web appositamente modificata.
Gli aggressori possono sfruttare questa falla creando contenuti web malevoli capaci di forzare WebKit a sovrascrivere porzioni di memoria adiacenti al buffer legittimo. Questa condizione, se combinata con altre vulnerabilità della piattaforma, può permettere di uscire dalla sandbox che normalmente isola i processi del browser e di accedere direttamente al sistema operativo. Da quel punto, il rischio è l’esecuzione di comandi con privilegi elevati e la possibilità di compromettere l’intero dispositivo.
Le dichiarazioni e gli interventi di Apple
Il 12 marzo 2025, Apple ha confermato ufficialmente che CVE-2025-24201 è stata sfruttata in attacchi contro sistemi iOS non aggiornati, in particolare quelli precedenti alla versione 17.2. Questa dichiarazione ha trovato riscontro anche nelle analisi del NIST (National Institute of Standards and Technology), mentre la CISA (Cybersecurity & Infrastructure Security Agency) ha inserito la falla nel proprio Known Exploited Vulnerabilities (KEV) Catalog, segnalando prove di sfruttamento attive.
Per correggere la vulnerabilità, Apple ha rilasciato un aggiornamento straordinario che interessa l’intero ecosistema dei suoi sistemi operativi, inclusi:
- visionOS 2.3.2;
- iOS 18.3.2, 16.7.11, 15.8.4;
- iPadOS 18.3.2, 17.7.6, 16.7.11, 15.8.4;
- macOS Sequoia 15.3.2;
- Safari 18.3.1;
- watchOS 11.4.
Gli aggiornamenti introducono controlli di integrità più severi nella gestione della memoria per impedire scritture fuori limite e ridurre il rischio di esecuzione di codice arbitrario.
Come da prassi, Apple non ha pubblicato alcun Proof of Concept (PoC), né divulgato dettagli tecnici completi sull’exploit, limitandosi a confermare la natura out-of-bounds write e la possibilità di esecuzione di codice remoto. La società rende noti questi dettagli solo dopo la distribuzione globale delle patch di sicurezza, per evitare ulteriori abusi.
Va inoltre segnalato che gli utenti che utilizzano versioni precedenti di macOS, come Ventura o Sonoma, hanno ricevuto soltanto mitigazioni parziali tramite aggiornamenti di Safari. I dispositivi più datati, tra cui iPhone 8 e iPhone X, restano invece definitivamente vulnerabili, poiché non più coperti dal ciclo di aggiornamenti di sicurezza ufficiali.
Gli interventi delle altre Big Tech
In seguito alla divulgazione della vulnerabilità, Google ha rilasciato un aggiornamento stabile di Chromium, per integrare patch correttive relative a CVE‑2025‑24201. Sebbene la falla riguardi principalmente WebKit, alcune librerie condivise tra i due progetti possono esporre anche browser basati su Chromium a rischi analoghi. Di conseguenza, diversi produttori hanno rilasciato rapidamente aggiornamenti di sicurezza, tra cui:
- Microsoft Edge;
- Vivaldi;
- Brave Browser;
- Arc Browser.
Impatto delle vulnerabilità WebKit
Le vulnerabilità che coinvolgono WebKit non sono una novità nel panorama Apple. Infatti, prima di CVE-2025-24201, numerose falle avevano già attirato l’attenzione della comunità di sicurezza per la loro capacità di compromettere un intero ecosistema.
Un report di Field Effect Security del 2024 ha messo in evidenza come gli exploit legati a Webkit siano tra i più sfruttati dagli attaccanti. Questo perché Apple impone che tutti tutti i browser presenti su iOS e macOS si basino sullo stesso motore di rendering. Se da un lato questa scelta garantisce un controllo completo sugli aggiornamenti di sicurezza, è anche vero che crea al tempo stesso un single point of failure. Questo perché una vulnerabilità in WebKit può propagarsi a qualunque browser nella loro versione per i dispositivi Apple. In tale categoria non rientra solo Safari, ma anche Chrome, Edge e Firefox.
Le vulnerabilità WebKit sono state ampiamente impiegate in campagne di malvertising. Le più note sono quelle condotte da ScamClub, una cybergang che in passato ha sfruttato attivamente gli exploit del motore di rendering, per iniettare annunci malevoli e reindirizzare gli utenti verso pagine di phishing o siti infetti. Sempre nel 2024, questa ha infatti sfruttato una vulnerabilità zero-day simile a CVE-2025-24201 per bypassare le restrizioni sugli iframe e distribuire pubblicità malevole su larga scala. Si è trattato di un attacco tanto semplice, quanto preoccupante, poiché bastava visitare un sito compromesso per far avvenire automaticamente il reindirizzamento.
Ma questo tipo di vulnerabilità sono state sfruttate perfino in operazioni di spionaggio. Lo spyware Pegasus, uno dei più noti nella storia della cybersorveglianza, ha utilizzato exploit zero-click del motore per compromettere dispositivi iOS senza alcuna interazione da parte dell’utente.
Prevenzione e difesa
CVE-2025-24201 è la dimostrazione di quanto siano critiche le vulnerabilità nel motore di rendering. Pertanto, è fondamentale installare tempestivamente gli ultimi aggiornamenti di sicurezza per i propri programmi e sistemi. Inoltre, per ridurre ulteriormente il rischio di exploitation, si raccomanda di adottare le seguenti misure pratiche di sicurezza:
- Usare reti VPN.
Le reti VPN permettono di proteggere il traffico di dati quando si naviga su reti pubbliche o non sicure, impedendo intercettazioni o iniezioni di codice via rete. - Effettuare regolarmente operazioni di backup.
Questo permette di recuperare facilmente i file più importanti in caso di compromissione del dispositivo. - Disabilitare le funzionalità WebGL.
Disattivare WebGL dalle impostazioni del browser riduce il rischio di attacchi che sfruttano shader o tecniche di rendering grafico per eseguire codice malevolo. - Utilizzare tool di content blocker come 1blocker.
Tali strumenti consentono di bloccare l’esecuzione di script non autorizzati sul web. - Abilitare l’autenticazione multifattore (MFA).
Queste funzionalità aggiungono ulteriori misure di controllo ai propri account online, in modo da ridurre il rischio di compromissione. - Applicare il principio del privilegio minimo in ambito aziendale.
In questo modo si riduce la superficie di attacco in caso di accesso non autorizzato.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.