Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’identificativo CVE-2025-43300, risulta essere sfruttata attivamente in attacchi estremamente mirati, come confermato.
Le patch urgenti, rilasciate come iOS 18.6.2 e iPadOS 18.6.2, risolvono una vulnerabilità di danneggiamento della memoria che potrebbe essere innescata dall’elaborazione di un file immagine creato appositamente.
Il problema principale è una scrittura fuori dai limiti all’interno del framework ImageIO, un componente fondamentale per il modo in cui i sistemi operativi Apple gestiscono e riproducono vari formati di immagine.
Secondo l’avviso di sicurezza di Apple, l’azienda è “a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici“.
Inviando un’immagine dannosa, un aggressore potrebbe scrivere dati al di fuori del buffer di memoria previsto. Questo tipo di difetto di corruzione della memoria è un vettore classico per ottenere l’esecuzione di codice arbitrario, consentendo potenzialmente a un aggressore di assumere il pieno controllo di un dispositivo interessato.
Questo schema di attacco è simile ai precedenti exploit zero-click utilizzati per implementare strumenti di sorveglianza come Pegasus, in cui le vittime vengono compromesse semplicemente ricevendo un file tramite un’app di messaggistica, senza alcuna interazione da parte dell’utente.
Le patch rilasciate da Apple coprono::
Lo sfruttamento attivo di CVE-2025-43300 lo trasforma da un rischio teorico a un pericolo chiaro e attuale per gli utenti di dispositivi non aggiornati.
