Apple ha rilasciato iOS 26.2, iPadOS 26.2 e macOS Tahoe 26.2, un aggiornamento che va ben oltre le nuove funzionalità promesse. Sotto il cofano, l’update risolve oltre 20 vulnerabilità di sicurezza, due delle quali erano già attivamente sfruttate in attacchi mirati contro utenti specifici. Non stiamo parlando di minacce teoriche o ipotetiche: questi exploit erano già in circolazione, pronti a colpire dispositivi non aggiornati. La conferma arriva direttamente da Cupertino, che ha dichiarato di essere a conoscenza di segnalazioni secondo cui questi bug sarebbero stati utilizzati in attacchi estremamente sofisticati contro individui specificamente presi di mira su versioni di iOS precedenti a iOS 26. Una dichiarazione che raramente Apple rilascia pubblicamente, segno che la situazione era tutt’altro che banale.
Le vulnerabilità più gravi, identificate come CVE-2025-43529 e CVE-2025-14174, riguardano WebKit, il motore di rendering che fa girare Safari e numerose applicazioni di sistema. In entrambi i casi, la semplice elaborazione di contenuti web appositamente predisposti poteva portare all’esecuzione di codice arbitrario o alla corruzione della memoria del dispositivo. Tradotto in termini pratici: un malintenzionato poteva prendere il controllo di alcune funzioni del tuo iPhone o iPad semplicemente facendoti visitare una pagina web compromessa. Dal punto di vista tecnico, una delle falle è stata risolta migliorando la gestione della memoria, mentre l’altra è stata corretta rafforzando i meccanismi di validazione. Ma il problema non si limitava solo a WebKit. iOS 26.2 include numerose altre correzioni che toccano componenti critici del sistema operativo: buffer overflow, race condition, type confusion. Termini che suonano astratti ma che, nella pratica, potevano tradursi in crash improvvisi di Safari, accessi non autorizzati o peggio.
Tra le altre vulnerabilità risolte, spicca un bug dell’App Store che poteva consentire l’accesso a token di pagamento sensibili, un problema che permetteva di visualizzare foto presenti nell’album Nascosti senza autenticazione e una falla in FaceTime che poteva portare alla rimozione involontaria delle password durante il controllo remoto di un dispositivo. Quest’ultima è particolarmente insidiosa per chi utilizza funzioni di assistenza remota o condivisione dello schermo. Non mancano correzioni anche per Messaggi, Telefono, Tempo di utilizzo e Foundation. Persino il kernel, il cuore pulsante del sistema operativo, presentava un errore di overflow che avrebbe potuto consentire a un’app malevola di ottenere privilegi elevati, aprendo scenari potenzialmente devastanti per la sicurezza complessiva del dispositivo.
Apple sottolinea un aspetto cruciale: una volta rese pubbliche, anche le vulnerabilità che non risultavano precedentemente sfruttate potrebbero diventare un bersaglio per attacchi futuri. Ora che i dettagli tecnici sono disponibili nella documentazione ufficiale, il rischio aumenta esponenzialmente. È una corsa contro il tempo: chi aggiorna subito si mette al sicuro, chi rimanda diventa un potenziale bersaglio. L’aggiornamento a iOS 26.2 è disponibile per tutti i dispositivi compatibili con iOS 26. La procedura è quella standard: Impostazioni, Generali, Aggiornamento software. Qualche minuto di attesa in cambio di una protezione sostanziale contro minacce concrete e già documentate. Non si tratta di allarmismo, ma di semplice prevenzione basata su dati di fatto.
