Apple aggiorna i dettagli di sicurezza di iOS 26, macOS Tahoe, Sequoia e Sonoma: tutti i CVE aggiunti
Apple ha aggiornato le pagine dedicate ai contenuti di sicurezza di diverse versioni di macOS, iOS, iPadOS, visionOS e watchOS, aggiungendo nuovi dettagli CVE relativi alle vulnerabilità risolte in ciascun aggiornamento.
Nuovi dettagli per versioni software precedenti e recenti
Lo scorso settembre Apple aveva rilasciato macOS 14.8 Sonoma, iOS 18.7 e iPadOS 18.7, con importanti aggiornamenti di sicurezza che correggevano vulnerabilità in grado, tra le altre cose, di consentire a un attaccante di accedere a dati utente protetti o sensibili. Da allora, macOS Sonoma ha ricevuto altri sei aggiornamenti, attestandosi attualmente alla versione 14.8.7 (la 14.8.6 è stata saltata). Analogamente, gli utenti di iPhone e iPad che non sono passati alle versioni principali più recenti hanno continuato a ricevere aggiornamenti, con iOS 18 e iPadOS 18 ora alla versione 18.7.9. Anche per gli utenti di Apple Watch e Apple Vision Pro, Apple ha rilasciato watchOS 26 e visionOS 26, introducendo diverse nuove funzionalità oltre a importanti correzioni di sicurezza.
Detto questo, Apple ha aggiornato oggi le pagine dei contenuti di sicurezza per queste versioni di sistema (e non solo), aggiungendo ulteriori dettagli sulle correzioni incluse e sui relativi CVE.
Di seguito le correzioni di sicurezza aggiunte oggi nella pagina dei contenuti di sicurezza di iOS 26 e iPadOS 26:
Siri Disponibile per: iPhone 11 e successivi, iPad Pro 12,9 pollici 3a generazione e successivi, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 8a generazione e successivi, iPad mini 5a generazione e successivi Impatto: Le schede di Navigazione Privata potrebbero essere accessibili senza autenticazioneDescrizione: Il problema è stato risolto migliorando la gestione degli stati. CVE-2025-30468: Richard Hyunho Im (@richeeta), Jiwon Park
Calendario Si ringraziano per la collaborazione Keisuke Chinone (Iroiro) e Rosyna Keller di Totally Not Malicious Software.
Di seguito le aggiunte ai contenuti di sicurezza di visionOS 26 e watchOS 26:
Calendario Si ringraziano per la collaborazione Keisuke Chinone (Iroiro) e Rosyna Keller di Totally Not Malicious Software.
Kernel Si ringraziano per la collaborazione Sungwoo Kim, Yepeng Pan e il Prof. Dr. Christian Rossow.
Di seguito le correzioni di sicurezza aggiunte oggi nella pagina dei contenuti di sicurezza di macOS Sonoma 14.8:
Cronologia chiamate Disponibile per: macOS Sonoma Impatto: Un’app potrebbe essere in grado di profilare l’utenteDescrizione: Il problema è stato risolto migliorando la redazione delle informazioni sensibili. CVE-2025-43357: Rosyna Keller di Totally Not Malicious Software, Guilherme Rambo di Best Buddy Apps (rambo.codes)
CoreServices Disponibile per: macOS Sonoma Impatto: Un’app potrebbe essere in grado di modificare parti protette del file system Descrizione: Un problema di autorizzazioni è stato risolto introducendo restrizioni aggiuntive. CVE-2025-43290: Zhongcheng Li, IES Red Team di ByteDance
CoreServices Disponibile per: macOS Sonoma Impatto: Un’app dannosa potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema logico è stato risolto migliorando la validazione. CVE-2025-43289: Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin)
FaceTime Disponibile per: macOS Sonoma Impatto: Le chiamate FaceTime in arrivo potrebbero comparire o essere accettate su un dispositivo macOS bloccato, anche con le notifiche disabilitate sulla schermata di blocco Descrizione: Il problema è stato risolto migliorando la gestione degli stati. CVE-2025-31271: Shantanu Thakur
Telefono Disponibile per: macOS Sonoma Impatto: Un’app potrebbe essere in grado di accedere a dati utente sensibiliDescrizione: Un problema di registrazione nei log è stato risolto migliorando la redazione dei dati. CVE-2025-43508: Wojciech Regula di SecuRing (wojciechregula.blog)
StorageKit Disponibile per: macOS Sonoma Impatto: Un’app dannosa potrebbe essere in grado di ottenere privilegi di root Descrizione: Un problema logico è stato risolto migliorando i controlli. CVE-2025-43306: Mickey Jin (@patch1t)
Di seguito le correzioni di sicurezza aggiunte oggi nella pagina dei contenuti di sicurezza di macOS Sonoma 14.8.2:
SQLite Disponibile per: macOS Sonoma Impatto: L’elaborazione di un file potrebbe causare corruzione della memoriaDescrizione: Si tratta di una vulnerabilità nel codice open source; il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da una terza parte. Ulteriori informazioni sul problema e sul CVE-ID sono disponibili su cve.org. CVE-2025-6965
Di seguito le aggiunte ai contenuti di sicurezza di iOS 18.7 e iPadOS 18.7:
Cronologia chiamate Disponibile per: iPhone XS e successivi, iPad Pro 13 pollici, iPad Pro 12,9 pollici 3a generazione e successivi, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 7a generazione e successivi, iPad mini 5a generazione e successivi Impatto: Un’app potrebbe essere in grado di profilare l’utenteDescrizione: Il problema è stato risolto migliorando la redazione delle informazioni sensibili. CVE-2025-43357: Rosyna Keller di Totally Not Malicious Software, Guilherme Rambo di Best Buddy Apps (rambo.codes)
ImageIO Si ringraziano per la collaborazione DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) di Enki WhiteHat.
Apple ha aggiornato anche i dettagli dei contenuti di sicurezza di macOS Sequoia 15.7:
Cronologia chiamate Disponibile per: macOS Sequoia Impatto: Un’app potrebbe essere in grado di profilare l’utenteDescrizione: Il problema è stato risolto migliorando la redazione delle informazioni sensibili. CVE-2025-43357: Rosyna Keller di Totally Not Malicious Software, Guilherme Rambo di Best Buddy Apps (rambo.codes)
CoreServices Disponibile per: macOS Sequoia Impatto: Un’app potrebbe essere in grado di modificare parti protette del file system Descrizione: Un problema di autorizzazioni è stato risolto introducendo restrizioni aggiuntive. CVE-2025-43290: Zhongcheng Li, IES Red Team di ByteDance
CoreServices Disponibile per: macOS Sequoia Impatto: Un’app dannosa potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema logico è stato risolto migliorando la validazione. CVE-2025-43289: Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin)
Crash Reporter Disponibile per: macOS Sequoia Impatto: Un’app potrebbe essere in grado di ottenere privilegi di rootDescrizione: Una race condition è stata risolta con una validazione aggiuntiva. CVE-2025-46284: un ricercatore che ha preferito restare anonimo
dyld Disponibile per: macOS Sequoia Impatto: La visita di un sito web potrebbe causare un denial-of-service dell’appDescrizione: Un problema di denial-of-service è stato risolto migliorando la validazione degli input. CVE-2025-43464: Duy Trần (@khanhduytran0), @EthanArbuckle
FaceTime Disponibile per: macOS Sequoia Impatto: Le chiamate FaceTime in arrivo potrebbero comparire o essere accettate su un dispositivo macOS bloccato, anche con le notifiche disabilitate sulla schermata di blocco Descrizione: Il problema è stato risolto migliorando la gestione degli stati. CVE-2025-31271: Shantanu Thakur
Telefono Disponibile per: macOS Sequoia Impatto: Un’app potrebbe essere in grado di accedere a dati utente sensibiliDescrizione: Un problema di registrazione nei log è stato risolto migliorando la redazione dei dati. CVE-2025-43508: Wojciech Regula di SecuRing (wojciechregula.blog)
StorageKit Disponibile per: macOS Sequoia Impatto: Un’app dannosa potrebbe essere in grado di ottenere privilegi di root Descrizione: Un problema logico è stato risolto migliorando i controlli. CVE-2025-43306: Mickey Jin (@patch1t)
Apple ha inoltre aggiornato i dettagli dei contenuti di sicurezza di macOS Tahoe 26:
AWD Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto: Un’app potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema di autorizzazioni è stato risolto rimuovendo il codice vulnerabile. CVE-2025-43451: Noah Gregory (wts.dev)
Compressione Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un’app potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema di autorizzazione è stato risolto migliorando la gestione degli stati. CVE-2025-43403: Mickey Jin (@patch1t)
CoreServices Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un’app potrebbe essere in grado di modificare parti protette del file system Descrizione: Un problema di autorizzazioni è stato risolto introducendo restrizioni aggiuntive. CVE-2025-43290: Zhongcheng Li, IES Red Team di ByteDance
CoreServices Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un’app dannosa potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema logico è stato risolto migliorando la validazione. CVE-2025-43289: Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin)
Crash Reporter Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un’app potrebbe essere in grado di ottenere privilegi di root Descrizione: Una race condition è stata risolta con una validazione aggiuntiva. CVE-2025-46284: un ricercatore che ha preferito restare anonimo
Driver GPU Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un’app potrebbe causare la chiusura inattesa del sistema Descrizione: Una lettura fuori dai limiti è stata risolta migliorando il controllo dei limiti. CVE-2025-46280: Jian Lee (@speedyfriend433)
PackageKit Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto:Un attaccante con privilegi di root potrebbe essere in grado di eliminare file di sistema protetti Descrizione: Il problema è stato risolto migliorando la gestione degli stati. CVE-2025-46310: Mickey Jin (@patch1t)
Sandbox Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto: Un’app potrebbe essere in grado di accedere a dati utente sensibili Descrizione: Un problema logico è stato risolto introducendo restrizioni migliorate. CVE-2025-46307: Yiğit Can YILMAZ (@yilmazcanyigit) e un ricercatore che ha preferito restare anonimo
StorageKit Disponibile per: Mac Studio (2022 e successivi), iMac (2020 e successivi), Mac Pro (2019 e successivi), Mac mini (2020 e successivi), MacBook Air con chip Apple (2020 e successivi), MacBook Pro 16 pollici (2019), MacBook Pro 13 pollici (2020, quattro porte Thunderbolt 3) e MacBook Pro con chip Apple (2020 e successivi) Impatto: Un’app dannosa potrebbe essere in grado di ottenere privilegi di root Descrizione: Un problema logico è stato risolto migliorando i controlli. CVE-2025-43306: Mickey Jin (@patch1t)
Calendario Si ringraziano per la collaborazione Keisuke Chinone (Iroiro) e Rosyna Keller di Totally Not Malicious Software.
Kernel Si ringraziano per la collaborazione Sungwoo Kim, Yepeng Pan e il Prof. Dr. Christian Rossow.
Infine, Apple ha aggiunto un elemento ai dettagli di sicurezza di tvOS 26:
Kernel Si ringraziano per la collaborazione Sungwoo Kim, Yepeng Pan e il Prof. Dr. Christian Rossow.
