Apple ha rilasciato un aggiornamento urgente per iPhone, iPad, Mac, Apple TV e Vision Pro. Non è una semplice miglioria: si tratta della correzione di una vulnerabilità grave che è già stata utilizzata per attacchi informatici reali, condotti senza che l’utente faccia nulla di sbagliato. Basta aprire una pagina web.

Se avete uno dei dispositivi interessati, quindi, dovete aggiornare subito. È l’unico modo per evitare che il sistema venga compromesso in modo invisibile.

Cosa è successo

Il problema risiede nel sistema grafico usato da molti browser e app per visualizzare contenuti complessi — immagini, animazioni, video — dove è stata scoperta una falla, per la precisione in una parte codice, chiamata ANGLE che gestisce il passaggio di comandi tra il dispositivo e la GPU (la parte del chip che elabora la grafica). Questo strumento viene utilizzato anche nei dispositivi Apple.

Un errore nella gestione dei dati in ingresso permetteva a un sito web creato ad arte di mandare in crisi il sistema grafico e, nei casi peggiori, di uscire dai limiti di sicurezza imposti dal sistema operativo, aggirando le difese del dispositivo.

Una tecnica già vista in attacchi sponsorizzati da governi contro attivisti, giornalisti e oppositori politici. Ma in certi contesti — newsletter, pubblicità, link via social — può colpire anche chi non è un bersaglio diretto.

La vulnerabilità riguarda i dispositivi Apple, anche se il problema è stato scoperto su Chrome

A scoprire la falla sono stati gli esperti di sicurezza di Google, che hanno inizialmente rilevato il problema su Chrome. Ma la libreria coinvolta, ANGLE, è open source e condivisa anche con il sistema Apple, dove viene utilizzata attraverso WebKit, alla base di Safari

I dispositivi che devono essere aggiornati

Apple ha confermato ufficialmente l’impatto e ha corretto il problema in tutti i suoi sistemi operativi aggiornati. In particolare

  • iPhone XS e successivi, con iOS 18.6
  • iPad 7ª generazione e successivi, inclusi iPad mini 5, iPad Air 3 e tutti gli iPad Pro recenti
  • iPad 6, iPad Pro 10,5” e Pro 12,9” 2ª gen, con iPadOS 17.7.9
  • Mac compatibili con macOS Sequoia 15.6
  • Apple TV HD e 4K, con tvOS 18.6
  • Apple Vision Pro, con visionOS 2.6

Apple Watch ha ricevuto un aggiornamento separato (watchOS 11.6), ma non è interessato da questa specifica vulnerabilità, perché non gestisce contenuti Web nello stesso modo.

Anche le autorità USA confermano la gravità

La vulnerabilità è stata inserita da CISA, l’agenzia per la sicurezza informatica degli Stati Uniti, nella lista delle minacce già sfruttate in attacchi. Le agenzie governative americane devono obbligatoriamente aggiornare tutti i sistemi entro il 12 agosto. Ma il consiglio vale per chiunque: nessuno è immune quando si parla di contenuti web e sistemi non aggiornati.

Come aggiornare

  • Su iPhone e iPad: Impostazioni > Generali > Aggiornamento Software
  • Su Mac: Impostazioni di Sistema > Generali > Aggiornamento Software
  • Su Apple TV e Vision Pro: l’update viene notificato automaticamente

Bastano pochi minuti per proteggere il dispositivo da una falla già usata in rete. Non ci sono alternative, e non è il caso di aspettare.