Apple e Google patchano i buchi degli attacchi zero-day

Apple e Google hanno implementato simultaneamente soluzioni di sicurezza critiche questa settimana dopo aver scoperto che i loro sistemi erano stati compromessi da vulnerabilità precedentemente sconosciute, con prove che indicano che gli aggressori sponsorizzati dallo stato hanno preso di mira individui specifici.

Punti chiave:

• Google rattoppato un difetto del browser Chrome (CVE-2025-14174) che gli hacker hanno sfruttato attivamente prima che le correzioni diventassero disponibili
• Apple ha protetto due vulnerabilità nell’intero ecosistema di prodotti dopo aver rilevato attacchi contro determinati utenti
• Un’indagine congiunta del team di sicurezza di Apple e del Threat Analysis Group di Google suggerisce che la campagna è stata orchestrata da hacker sostenuti dal governo

Google ha interrotto la pratica standard annunciando gli aggiornamenti di Chrome mercoledì. Inizialmente la società non aveva fornito dettagli sulle patch rilasciate per l’aggiornamento del browser alla versione 143.0.7499.109/.110. Questo silenzio è durato fino a venerdì, quando Google ha rivelato che il team di Security Engineering and Architecture di Apple, lavorando insieme al Threat Analysis Group di Google, aveva scoperto il difetto.

Il Threat Analysis Group è specializzato nel monitorare le operazioni di hacking sponsorizzate dal governo e i fornitori di spyware commerciali. Il loro coinvolgimento segnala che probabilmente sono stati gli stati nazionali a orchestrare questi attacchi piuttosto che i comuni criminali informatici.

Apple si mosse contemporaneamente, spingendo aggiornamenti di sicurezza nell’intera gamma hardware: iPhone, iPad, computer Mac, cuffie Vision Pro, dispositivi Apple TV, Apple Watch e il browser Safari. Il bollettino sulla sicurezza dell’azienda per i dispositivi mobili ha affrontato due vulnerabilità separate.

Apple ha riconosciuto di essere consapevole “che questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro specifici individui presi di mira” utilizzando dispositivi con versioni precedenti a iOS 26. Questa dichiarazione attentamente formulata segue il protocollo stabilito da Apple per confermare lo sfruttamento zero-day: attacchi che sfruttano difetti software sconosciuti ai produttori nel momento in cui gli hacker li implementano.

I modelli storici suggeriscono che questi incidenti spesso coinvolgono strumenti spyware commerciali sviluppati da aziende come NSO Group o Paragon Solutions. Queste aziende vendono sofisticate funzionalità di hacking ai governi, che poi le utilizzano contro giornalisti, dissidenti politici e difensori dei diritti umani.

La vulnerabilità di Chrome, designata CVE-2025-14174 e classificata con gravità “elevata”, comporta un accesso alla memoria fuori limite in ANGLE, un livello di astrazione grafica. Google ha confermato che “esiste un exploit per CVE-2025-14174”, il che significa che gli aggressori lo stavano utilizzando contro obiettivi reali.

Oltre al difetto zero-day, l’aggiornamento di Google ha risolto due ulteriori bug di media gravità. Il ricercatore di sicurezza Weipeng Jiang ha scoperto un errore “use after free” nel Password Manager di Chrome, mentre Khalil Zhani ha identificato un problema di implementazione nella barra degli strumenti del browser. Google ha assegnato premi da 2.000 dollari a ciascun ricercatore.

Non è ancora chiaro il momento in cui quanti utenti siano rimasti vittime di questi attacchi o quali gruppi specifici siano stati presi di mira. Entrambe le società hanno mantenuto la consueta discrezione sull’identità delle vittime e sulle specifiche dell’attacco, bilanciando la trasparenza con la privacy degli utenti e le indagini di sicurezza in corso.

Google ha notato che molte vulnerabilità della sicurezza non raggiungono mai gli utenti perché l’azienda utilizza strumenti di rilevamento automatizzato, tra cui AddressSanitizer, MemorySanitizer, UnfineBehaviorSanitizer, Control Flow Integrity, libFuzzer e AFL durante i cicli di sviluppo.

Gli utenti devono installare immediatamente gli aggiornamenti disponibili su tutti i dispositivi interessati. Le patch verranno distribuite a livello globale nei prossimi giorni e settimane attraverso meccanismi di aggiornamento automatico.

Scritto da Alius Noreika