/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/02/patch-ios-attacco-zero-click-iphone.jpg "iOS 26.3 chiude una falla presente dal 2007 e sfruttata in attacchi zero-click")
Una vulnerabilità presente fin dalle primissime versioni del sistema operativo mobile di Apple è stata corretta solo ora, dopo essere stata sfruttata in attacchi mirati di livello avanzato. La falla, identificata come CVE-2026-20700, interessa il componente responsabile dell’avvio e del collegamento delle applicazioni su iPhone e iPad (dyld) e risale addirittura alle origini di iOS, introdotto nel 2007. Secondo le informazioni diffuse dai ricercatori di Google e da Apple stessa, un gruppo di aggressori ha utilizzato l’exploit per operazioni mirate contro individui specifici, inserendosi in una catena di vulnerabilità che coinvolge anche il browser WebKit e altri componenti di sistema. Il rilascio della correzione con iOS 26.3 rappresenta la chiusura di un problema nascosto sotto la superficie per tanti anni.
Il ruolo del linker dinamico dyld e l’impatto della vulnerabilità
Il difetto interessa dyld, il linker dinamico utilizzato da Apple per caricare e collegare librerie e componenti necessari all’avvio delle applicazioni.
Tale modulo gestisce la risoluzione delle dipendenze e l’inizializzazione della memoria prima del caricamento del codice di ciascuna app. Un errore nella gestione della memoria consente a un attaccante di ottenere l’esecuzione di codice non autorizzato sfruttando la possibilità di scrivere liberamente nella memoria.
Il punto critico, infatti, è che l’operazione avviene prima che entrino in gioco i meccanismi di isolamento, come la sandboxing delle app, rendendo possibile aggirare i controlli di sicurezza a monte.
Una catena di exploit e scenari zero-click
La vulnerabilità sembra utilizzata in modo isolato. Come anticipato in apertura, gli analisti indicano che l’attacco reale prevedeva una catena che includeva anche debolezze nel motore WebKit, sfruttate tramite contenuti Web malevoli.
In uno scenario tipico, una pagina appositamente costruita consente di ottenere l’accesso iniziale e poi sfruttare il difetto in dyld per acquisire il controllo completo del dispositivo. In alcune configurazioni l’interazione dell’utente può essere minima o addirittura assente, configurando un attacco zero-click.
Uno schema del genere è in linea con una serie di aggressioni attribuite a fornitori di spyware commerciale destinato a clienti governativi.
Collegamenti con altre vulnerabilità recenti
Nel rapporto dei ricercatori sono citate anche due vulnerabilità di dicembre 2025 che mostrano caratteristiche analoghe in termini di impatto.
La prima, CVE-2025-14174, riguarda un accesso fuori dai limiti nel motore grafico ANGLE utilizzato da Google Chrome su macOS e sfruttabile tramite pagine Web malevole. La seconda, CVE-2025-43529, è un bug di tipo use-after-free che consente l’esecuzione di codice.
Entrambe presentano un punteggio CVSS pari a 8,8 e confermano come gli attacchi moderni si basino spesso su concatenazioni di bug per ottenere escalation di privilegi e persistenza sui dispositivi mobili degli utenti, siano essi basati su iOS o Android.
Distribuzione della patch e versioni coinvolte
Apple ha corretto la vulnerabilità con l’aggiornamento iOS e iPadOS 26.3. Il problema era presente in tutte le versioni precedenti, a partire dalla 1.0.
Oltre alla falla principale, l’aggiornamento include altre correzioni relative ad accesso non autorizzato ai dati, bypass delle protezioni e acquisizione di privilegi più elevati. Tuttavia, Apple ha confermato che CVE-2026-20700 è l’unica vulnerabilità attivamente sfruttata in attacchi reali tra quelle risolte in questo ciclo di aggiornamento.
La longevità del bug evidenzia le difficoltà nel verificare componenti a basso livello presenti fin dalle prime versioni di un sistema operativo. La correzione tardiva suggerisce che parti del codice legacy possano sfuggire ai controlli tradizionali e richiedere audit periodici con tecniche moderne di analisi statica e dinamica. L’episodio rafforza la necessità di programmi di bug bounty e collaborazione tra vendor e comunità di ricerca per individuare vulnerabilità latenti prima che esse siano sfruttate.
In ambito aziendale, l’adozione di soluzioni di Mobile Device Management (MDM) consente di verificare lo stato delle versioni installate e imporre aggiornamenti obbligatori, ad esempio all’ultima versione di iOS e iPadOS, così da scongiurare rischi.
/https://www.ilsoftware.it/app/uploads/2026/02/zerodayrat-come-funziona.jpg "ZeroDayRAT, lo spyware venduto su Telegram: controllo totale di smartphone Android e iOS")
/https://www.ilsoftware.it/app/uploads/2026/02/spyware-paragon-graphite-spunta-pannello-controllo.jpg "Spyware Paragon Graphite: svelato per errore il pannello di controllo segreto")
/https://www.ilsoftware.it/app/uploads/2026/02/crescita-fairphone-europa.jpg "Fairphone: crescita record nel 2025 e design riparabile che sfida il mercato")
/https://www.ilsoftware.it/app/uploads/2025/08/ritiro-microsoft-lens-app.jpg "Ritiro Microsoft Lens: cosa cambia per la scansione dei documenti da mobile")