Apple e Google hanno distribuito nelle scorse ore patch di emergenza per correggere vulnerabilità zero-day già attivamente sfruttate, confermando come browser e sistemi operativi mobili restino tra gli obiettivi più appetibili per attori avanzati. In entrambi i casi, le aziende parlano apertamente di attacchi reali e sofisticati, ma scelgono di mantenere un livello di dettaglio tecnico estremamente limitato (una strategia ormai consolidata quando il rischio riguarda campagne ancora in corso).

Apple ha aggiornato rapidamente gran parte del proprio ecosistema, intervenendo su iPhone, iPad e Mac per risolvere due falle individuate all’interno di WebKit, il motore di rendering alla base di Safari e di numerose applicazioni. Secondo l’azienda di Cupertino, le vulnerabilità sarebbero state sfruttate in attacchi “estremamente sofisticati” contro individui specificamente presi di mira. Una formulazione che, pur nella sua vaghezza, suggerisce un contesto ben lontano dal cybercrimine opportunistico e molto più vicino a operazioni di sorveglianza mirata.

Come spesso accade, Apple ha fornito poche informazioni tecniche, limitandosi a confermare l’esistenza di exploit già in circolazione. Per gli utenti, il messaggio di fondo resta comunque aggiornare immediatamente senza attendere ulteriori chiarimenti.

Patch Apple Google

Crediti: Shutterstock

Parallelamente, anche Google è stata costretta a intervenire in fretta sul fronte Chrome, rilasciando un aggiornamento del canale Stable per correggere diverse falle di sicurezza, tra cui almeno una zero-day già sfruttata prima della disponibilità di una patch. La vulnerabilità più critica, identificata come CVE-2025-14174, riguarda un accesso fuori dai limiti della memoria, una classe di bug notoriamente pericolosa perché potenzialmente in grado di portare all’esecuzione di codice arbitrario e alla compromissione completa del sistema.

Un elemento particolarmente significativo è l’attribuzione del merito per la scoperta della CVE-2025-14174. Google riconosce il contributo del team di sicurezza Apple e del Threat Analysis Group, un’unità interna specializzata nel monitoraggio di spyware mercenario e campagne di intrusione sponsorizzate da stati. Questo dettaglio, più di molti altri, suggerisce che l’exploit non fosse destinato a una diffusione di massa, ma inserito in operazioni mirate ad alto valore, dove precisione e discrezione contano più della scala.

Il contesto più ampio mostra un quadro tutt’altro che rassicurante. Con questi ultimi interventi, Apple ha già corretto nove vulnerabilità zero-day sfruttate attivamente dall’inizio del 2025, mentre Google ha dovuto affrontare otto casi analoghi legati a Chrome nello stesso periodo. Numeri che indicano una pressione costante su browser e piattaforme mobili, considerate dagli attaccanti come punti di accesso privilegiati ai dati personali, alle comunicazioni e, in molti casi, all’intera identità digitale degli utenti.

(Immagine in apertura: Shutterstock)