Apple ha rilasciato un aggiornamento di sicurezza critico per tutti i suoi dispositivi: iPhone, iPad, Mac, Apple TV e persino Vision Pro. Non si tratta della solita patch di routine, ma della correzione di una vulnerabilità grave, già sfruttata attivamente per attacchi reali.
La cosa più inquietante? Basta aprire una pagina web per ritrovarsi esposti. Nessun clic su link strani, nessuna app sospetta da scaricare. Serve solo essere online — e non avere ancora aggiornato il dispositivo.
Il cuore del problema: ANGLE
La falla è stata individuata in una componente chiamata ANGLE, una libreria open source che funge da “traduttore” tra il sistema operativo e la GPU, per gestire grafiche complesse come video, animazioni e immagini 3D. In parole povere, è ciò che permette a molte app e browser di visualizzare contenuti avanzati.
Un errore nella gestione dei dati in ingresso consentiva a un sito web malevolo di mandare in tilt il sistema grafico e, nei casi peggiori, di bucare i limiti imposti dal sistema operativo, con la possibilità di eseguire codice arbitrario. Ed è già successo: attacchi del genere sono stati documentati contro attivisti e giornalisti, ma chiunque può esserne vittima, anche solo navigando su una pagina contenente pubblicità malevole o un link condiviso via social.
Il dettaglio tecnico (senza perdersi nei tecnicismi)
Il bug è stato scoperto dai team di sicurezza di Google, che lo hanno inizialmente rilevato su Chrome. Ma proprio perché ANGLE è condiviso anche con WebKit (il motore di Safari), tutti i dispositivi Apple che utilizzano questo motore sono potenzialmente esposti.
Apple ha confermato il problema e ha già rilasciato le patch necessarie.
Dispositivi da aggiornare subito
Se hai uno di questi dispositivi, ti conviene aggiornare ora:
iPhone XS e successivi (aggiornamento iOS 18.6)
iPad 7ª generazione e successivi, inclusi iPad mini 5, iPad Air 3 e iPad Pro recenti
iPad 6, iPad Pro 10,5" e 12,9" 2ª gen (con iPadOS 17.7.9)
Mac compatibili con macOS Sequoia 15.6
Apple TV HD e 4K (tvOS 18.6)
Apple Vision Pro (visionOS 2.6)
L’Apple Watch ha ricevuto un aggiornamento (watchOS 11.6), ma non è coinvolto da questa specifica vulnerabilità, poiché non elabora contenuti web con lo stesso meccanismo.
Anche le autorità USA confermano la gravità
La vulnerabilità è stata inserita da CISA, l’agenzia statunitense per la sicurezza informatica, nell’elenco delle minacce attivamente sfruttate in attacchi reali. Gli enti governativi USA sono obbligati ad aggiornare tutti i dispositivi entro il 12 agosto. Il consiglio vale anche per il resto di noi.
Quando la minaccia arriva da internet, nessuno è davvero al sicuro se non aggiorna.
Come aggiornare (due minuti, davvero)
Su iPhone e iPad: Impostazioni > Generali > Aggiornamento Software
Su Mac: Impostazioni di Sistema > Generali > Aggiornamento Software
Su Apple TV e Vision Pro: l’update viene notificato automaticamente
Ci vogliono pochi minuti per aggiornare, ma possono fare la differenza tra un sistema sicuro e uno esposto.
