Sintesi
Apple ha rilasciato un aggiornamento di sicurezza per sanare una vulnerabilità di tipo 0-day presente nel motore di rendering web WebKit. Tale vulnerabilità potrebbe permettere l’esecuzione di codice arbitrario sui dispositivi interessati.
Note: il vendor afferma che la CVE-2025-24201 risulta essere sfruttata attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (79.23)
Tipologia
- Security Feature Bypass
- Arbitrary Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità CVE-2025-24201 relativa al WebKit, motore di rendering web di Apple utilizzato principalmente nei browser Safari e in altre applicazioni che necessitano di visualizzare contenuti web.
Tale vulnerabilità – di tipo “Out-of-Bounds Write” e con score CVSS v3.1 pari a 9.8 – può essere utilizzata per eludere i meccanismi di sicurezza presenti nella sandbox di WebKit, tramite contenuti web opportunamente predisposi, al fine di eseguire codide arbitrario sulle istanze vulnerabili.
Prodotti e/o versioni affette
Apple
- iOS, versioni precedenti alla 18.3.2
- iPadOS, versioni precedenti alla 18.3.2
- macOS Sequoia, versioni precedenti alla 15.3.2
- visionOS, versioni precedenti alla 2.3.2
- Safari, versioni precedenti alla 18.3.1
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.
Riferimenti
https://support.apple.com/en-us/122285
https://support.apple.com/en-us/122281
https://support.apple.com/en-us/122283
https://support.apple.com/en-us/122284
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
