Milioni di prodotti Apple sono a rischio attacco: aggiornateli subito
Decine di modelli tra iPhone, iPad, Mac, Apple TV, Apple Watch e persino il Vision Pro soffrono di un gravissimo bug di sicurezza
La gran parte dei dispositivi Apple attualmente in uso ha un grosso problema di sicurezza, ma per fortuna c’è una soluzione semplice e già disponibile. Il problema è la vulnerabilità “zero-day” e “use after free” denominata CVE-2025-24085 ed è il primo bug di sicurezza grave corretto da Apple nel 2025 appena iniziato.
CVE-2025-24085: quali device sono a rischio
Tutti questi dispositivi, e tutti quelli a loro successivi, sono potenzialmente attaccabili:
- iPhone XS
- iPad Pro da 13 pollici
- iPad Pro da 12,9 pollici di terza generazione
- iPad Pro da 11 pollici di prima generazione
- iPad Air di terza generazione
- iPad di settima generazione
- iPad mini di quinta generazione
- Mac con sistema operativo macOS Sequoia
- Apple Watch Serie 6
- Apple TV HD e 4K
Ognuno di questi modelli è stato venduto in milioni e milioni di esemplari. Anche se non tutti saranno ancora attivi e funzionanti, è chiaro che il bug CVE-2025-24085 riguarda potenzialmente decine di milioni di prodotti Apple.
Perché CVE-2025-24085 è pericoloso
Il bug classificato con la sigla CVE-2025-24085 riguarda il framework Apple Core Media, cioè una componente presente in tutti i sistemi operativi Apple che è necessaria per l’elaborazione dei contenuti multimediali audiovisivi. Per la precisione, si tratta di una vulnerabilità di tipo “use after free“, che potrebbe permettere a un’applicazione malevola di elevare i privilegi.
Elevare i privilegi significa che un’applicazione malevola potrebbe sfruttare questa falla di sicurezza per ottenere un livello di accesso superiore a quello che normalmente le sarebbe consentito. In altre parole, un’applicazione con privilegi limitati (come una normale app scaricata da un app store) potrebbe riuscire a ottenere privilegi di sistema, dandole un controllo maggiore sul dispositivo o sul sistema operativo.
La vulnerabilità “use after free” in questione, risolta con una migliore gestione della memoria, permette a un’app malevola di eseguire operazioni non autorizzate nel sistema, potenzialmente manipolando o compromettendo altri processi o dati.
La CVE-2025-24085, inoltre, è una vulnerabilità “zero-day“, cioè un bug è che non è stato scoperto dagli sviluppatori del software (in questo caso Apple), ma da qualcun altro. Poiché la vulnerabilità non è nota a chi ha sviluppato il software, non è immediatamente disponibile una patch o una correzione per proteggere i sistemi.
Questo rende le vulnerabilità zero-day particolarmente pericolose, perché è prima necessario che qualcuno le scopra e solo dopo si possono correggere. A scoprire una zero-day, però, possono essere sia i “buoni” (società di cybersicurezza o esperti indipendenti), sia i “cattivi” (hacker intenzionati a sfruttare i bug).
Nel caso della CVE-2025-24085, secondo quanto risulta alla stessa Apple, si è verificata la seconda ipotesi: gli hacker hanno già sfruttato il bug, anche se non sappiamo in che modo, quante volte e per attaccare chi.
Aggiornate subito i device
Poiché affligge un framework condiviso, la CVE-2025-24085 è una vulnerabilità di tutti i sistemi operativi Apple. La casa di Cupertino, per questo, ha inserito la correzione del bug in tutti i suoi aggiornamenti di gennaio 2025:
- iOS 18.3
- iPadOS 18.3
- macOS 15.3,
- tvOS 18.3
- visionOS 2.3
- watchOS 11.3
Se l’utente non ha modificato le impostazioni di default, tutti i prodotti Apple si aggiornano automaticamente all’ultima versione disponibile del sistema operativo. Tuttavia, è sempre bene controllare che ciò avvenga realmente, soprattutto in caso di aggiornamenti importanti come questo.
Su iPhone o iPad, ad esempio, basta andare su Impostazioni > Generali > Aggiornamento Software. Sui Mac, invece, bisogna andare su Apple > Impostazioni di Sistema > Generali > Aggiornamento software.
