Apple: due gravi vulnerabilità zero-day già sfruttate, urge aggiornare

Recentemente sono state rilevate due vulnerabilità critiche, identificate come CVE-2025-31200 e CVE-2025-31201, che interessano numerosi dispositivi Apple, inclusi iPhone, iPad, Mac, Apple TV e Vision Pro.

La prima vulnerabilità, relativa a CoreAudio (score CVSS 7.5), consente l’esecuzione di codice arbitrario tramite la semplice elaborazione di un file audio appositamente predisposto.

La seconda, che riguarda la componente RPAC (Pointer Authentication Code, score CVSS 6.8), permette a un attaccante con privilegi di lettura e scrittura di bypassare una fondamentale misura di sicurezza, potenzialmente prendendo il controllo del dispositivo.

Entrambe le vulnerabilità sono già state sfruttate in attacchi mirati e sofisticati contro specifici individui, probabilmente appartenenti a categorie ad alto rischio come giornalisti, attivisti, politici o manager di aziende sensibili.

Apple, in collaborazione con Google Threat Analysis Group, ha scoperto e corretto rapidamente questi problemi rilasciando aggiornamenti di sicurezza per tutte le piattaforme coinvolte (iOS/iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, visionOS 2.4.1).

Apple non ha diffuso dettagli tecnici approfonditi per evitare ulteriori exploit, ma raccomanda a tutti gli utenti, anche quelli non direttamente a rischio, di aggiornare immediatamente i propri dispositivi per prevenire possibili attacchi futuri.

Fonti: ACN, Bleeping Computer, Help Net Security