Con iOS 26 e iPadOS 26, Apple non solo ha introdotto il design "Liquid Glass" e nuove funzionalità ma ha anche corretto 27 vulnerabilità di sicurezza. Anche macOS 26 Tahoe ha ricevuto un intervento consistente, con 77 falle risolte, per un totale di 104 correzioni distribuite tra i vari sistemi.
Si tratta di un aggiornamento di ampia portata, che affronta scenari molto diversi: dal rischio di crash improvvisi al potenziale accesso non autorizzato a dati personali, fino alla possibilità per un'app malevola di aggirare i confini della sandbox, cioè lo spazio isolato in cui dovrebbe rimanere confinata. Gli esperti evidenziano che, al momento, nessuna delle vulnerabilità appena corrette risulta sfruttata attivamente, ma sottolineano l'importanza di aggiornare quanto prima i dispositivi per ridurre ogni possibile rischio.
Tra i vari interventi, particolare rilievo ha la chiusura della vulnerabilità CVE-2025-43300, legata al framework ImageIO. Si tratta di una zero-day — ovvero una falla sconosciuta al momento della sua scoperta — che era stata utilizzata in attacchi mirati e sofisticati contro un ristretto numero di utenti. Apple aveva già provveduto a correggerla nelle versioni più recenti del sistema operativo, ma con questo nuovo ciclo di aggiornamenti ha deciso di estendere la protezione anche ai dispositivi più datati, rilasciando patch per iOS 15.8.5, iPadOS 15.8.5, iOS 16.7.12 e iPadOS 16.7.12.
La vulnerabilità è stata inoltre inserita nel catalogo ufficiale delle vulnerabilità sfruttate note dalle autorità di cybersicurezza, obbligando enti e agenzie governative a intervenire tempestivamente. In alcuni casi, la falla è stata collegata a campagne di spyware avanzato, dove veniva combinata con una debolezza presente in WhatsApp, così da ampliare le possibilità di intrusione. Pur avendo colpito meno di 200 persone in tutto il mondo, l'episodio conferma quanto queste vulnerabilità possano essere sfruttate in modo mirato e pericoloso.
L'aggiornamento non si limita a un singolo componente, ma copre un ventaglio molto ampio di aree critiche del sistema. WebKit, il motore alla base di Safari e di molte app che visualizzano contenuti web, è stato quello che ha ricevuto il maggior numero di patch, ben cinque. Sono state corrette vulnerabilità che potevano causare crash del browser, reindirizzamenti non autorizzati o accesso a dati sensibili come i sensori del dispositivo.
Altri interventi hanno interessato Apple Neural Engine, con falle che potevano portare all'arresto improvviso del sistema, Bluetooth, con rischi di esposizione non autorizzata di informazioni, e ancora CoreAudio e CoreMedia, dove la semplice apertura di file multimediali malevoli poteva compromettere la stabilità del dispositivo.
Il Kernel, cuore del sistema operativo, è stato oggetto di correzioni per eliminare problematiche che potevano alterare la gestione della rete, mentre la sandbox è stata rafforzata per evitare che app non autorizzate potessero superare i confini di sicurezza. Sono stati chiusi anche bug che interessavano la gestione della cronologia delle chiamate, la tastiera, l'app Note e persino Siri, che in alcuni casi poteva consentire l'accesso a schede di navigazione privata senza autenticazione.
Secondo gli analisti di sicurezza, le correzioni distribuite su iOS e iPadOS non sollevano motivi di allarme immediato, ma eliminano un numero elevato di bug che avrebbero potuto compromettere la stabilità complessiva del sistema. Più delicate, invece, alcune falle su macOS, in particolare quelle che riguardavano PackageKit e StorageKit, perché avrebbero potuto permettere a un attaccante di ottenere privilegi di root, cioè il massimo livello di accesso al sistema.
Si tratta di scenari che, pur non risultando sfruttati attivamente, evidenziano come il numero e la varietà delle vulnerabilità corrette giustifichino la rapidità con cui gli utenti dovrebbero procedere all'installazione degli aggiornamenti.
Apple non si è limitata a distribuire patch per iOS, iPadOS e macOS. Contestualmente sono stati rilasciati aggiornamenti anche per iOS 18.7 e iPadOS 18.7 con 12 correzioni di sicurezza, macOS Sequoia 15.7, macOS Sonoma 14.8, tvOS 26, watchOS 26, visionOS 26, oltre a nuove versioni di Safari e Xcode.
Con questo intervento, l'azienda di Cupertino porta a sei il numero delle vulnerabilità zero-day corrette nel corso del 2025, dopo quelle già affrontate nei mesi di gennaio, febbraio, marzo e aprile. Una dimostrazione di come il lavoro di manutenzione e rafforzamento della sicurezza resti una priorità costante, soprattutto in un contesto in cui i tentativi di sfruttare falle sconosciute diventano sempre più mirati e sofisticati.
First Trailer for Anaconda Reboot Reveals It's a Movie About Jack Black and Paul Rudd Rebooting Anaconda