Apple ha rilasciato un aggiornamento di sicurezza per correggere una grave vulnerabilità di tipo 0-day individuata nel motore di rendering web WebKit, utilizzato da Safari e da altre applicazioni per la visualizzazione di contenuti web.
La falla, identificata con il codice CVE-2025-24201, risulta essere sfruttata attivamente in rete, rendendo particolarmente urgente l’installazione delle patch di sicurezza rilasciate dall’azienda di Cupertino. Si tratta di una vulnerabilità classificata come “Out-of-Bounds Write”, con un punteggio di gravità CVSS v3.1 pari a 9.8, che potrebbe consentire l’esecuzione di codice arbitrario sui dispositivi colpiti. In particolare, un attaccante potrebbe eludere i meccanismi di sicurezza della sandbox di WebKit attraverso contenuti web appositamente realizzati, al fine di eseguire codice arbitrario sulle istanze vulnerabili.
I dispositivi e i sistemi operativi interessati includono versioni precedenti alla 18.3.2 di iOS e iPadOS, versioni di macOS Sequoia antecedenti alla 15.3.2, versioni di visionOS precedenti alla 2.3.2 e versioni di Safari inferiori alla 18.3.1.
In linea con le dichiarazioni di Apple, il CSIRT Italia raccomanda di applicare le patch seguendo le istruzioni fornite nei bollettini di sicurezza ufficiali.
https://www.acn.gov.it/portale/en/w/apple-rilevata-0-day-nel-motore-di-rendering-webkit
