Bug, Guide, Notizie

Apple risolve un bug di WebKit che avrebbe potuto consentire ai siti web di accedere ai tuoi dati

di Pieter Arntz | 18 marzo 2026
Mela

Apple ha rilasciato un aggiornamento di sicurezza in background per correggere una vulnerabilità che potrebbe consentire a siti web dannosi di aggirare le protezioni del browser e accedere ai dati di altri siti.

Che cos'è?

La vulnerabilità di WebKit corretta è descritta come segue:

“È stato risolto un problema relativo alle origini incrociate nell'API di navigazione grazie a una migliore convalida degli input.”

Le vulnerabilità di WebKit sono falle di sicurezza presenti nel motore di rendering web di Apple, che è alla base di Safari, Mail e dell'App Store su iOS macOS.

Ciò significa che la vulnerabilità CVE-2026-20643 consente a un sito web dannoso di fingersi un altro sito, magari uno di cui ti fidi, per poi leggere o rubare informazioni che dovrebbero rimanere riservate. Normalmente, i browser applicano una regola chiamata "same-origin policy", che è come una barriera rigida che impedisce a un sito di sbirciare nei dati di un altro sito. Questo bug potrebbe aiutare i criminali informatici a superare tale barriera.

In pratica, un hacker dovrebbe prima attirarti su una pagina web appositamente creata. Se la visitassi, quella pagina potrebbe tentare di aggirare il normale isolamento tra i siti e accedere a elementi a cui non dovrebbe avere accesso, come i dati di un'altra scheda o contenuti incorporati provenienti da un servizio diverso.

Al momento non sembra che gli hacker stiano sfruttando questa vulnerabilità in attacchi reali, ma sono soliti combinare problemi come questo con altri bug per rubare account o dati sensibili, il che probabilmente ha spinto Apple a rilasciare una correzione nell’ambito del programma «Background Security Improvement». La correzione di Apple rafforza i controlli e la gestione della navigazione tra siti da parte di WebKit.

Cosa fare

Questa patch per una vulnerabilità di WebKit, identificata con il codice CVE-2026-20643, si installa sulle versioni 26.3.1/26.3.2 e non come versione completa separata del sistema operativo. I miglioramenti alla sicurezza in background sono disponibili solo sull'ultimo ramo del sistema operativo (26.x) e vengono applicati automaticamente in background se si utilizza l'ultima versione.

Gli utenti iOS iPadOS possono verificare se stanno utilizzando l'ultima versione del software andando suImpostazioni > Generali > Aggiornamento software. Vale anche la pena attivare gli aggiornamenti automatici, se non l'avete già fatto. Potete farlo dalla stessa schermata.

Gli utenti di macOS Tahoe possono verificare se dispongono dell'ultima versione 26.3 dal menu Apple. Nell'angolo in alto a sinistra dello schermo, seleziona "Informazioni su questo Mac". Le informazioni visualizzate includono il nome e il numero di versione di macOS. Se hai bisogno di conoscere anche il numero di build, clicca sul numero di versione per visualizzarlo.

Questo aggiornamento di sicurezza in background è disponibile solo per Mac che utilizzano Tahoe 26.3.1 e per gli utenti MacBook Neo che utilizzano la versione 26.3.2.

Gli utenti devono semplicemente verificare che l'opzione "Miglioramenti alla sicurezza in background" siaattivata.

Per gli utenti di iPhone e iPad, questa impostazione si trova nella sezione " Privacy sicurezza"; basta scorrere verso il basso e cercare l'opzione "Miglioramenti alla sicurezza in background" .

Installa automaticamente gli aggiornamenti di sicurezza
Installa automaticamente gli aggiornamenti di sicurezza

Su un Mac solo macOS Tahoe 26.3.+), puoi verificarlo seguendo queste istruzioni:

  1. Fai clic sul menu Apple > Impostazioni di sistema.
  2. Nella barra laterale, clicca su Privacy e sicurezza.
  3. Scorri verso il basso sulla destra e clicca su " Miglioramenti alla sicurezza in background".
  4. Assicurati che l'opzione " Installa automaticamente " sia attivata. Se è disattivata, il Mac riceverà i miglioramenti di sicurezza in background finché le correzioni non saranno incluse in un successivo aggiornamento completo.

L'opzione "Installa" nella mia schermata indica che puoi accelerare il processo cliccandoci sopra. Ma va bene anche aspettare che avvenga automaticamente.

Dopo l'aggiornamento, la versione del sistema operativo dovrebbe essere 26.3.1 (a), ad eccezione dei MacBook Neo, che dovrebbero avere la versione 26.3.2 (a).

Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Truffe
Sito falso di Pudgy World

Il sito falso "Pudgy World" ruba le tue password delle criptovalute

Marzo 17, 2026

Il sito di phishing non è affiliato né a Igloo Inc né a Pudgy Penguins, ma è stato creato per attirare i fan e rubare le loro password delle criptovalute.

Mobile
Un cavallo di Troia su ruote irrompe nello schermo di uno smartphone

Google interviene contro Android che abusano delle funzionalità di accessibilità

Marzo 17, 2026

Da anni ormai il malware sfrutta le funzioni di accessibilità Android. Google ha appena reso tutto questo molto più difficile.

Privacy
Siti web compromessi

I siti compromessi diffondono il malware Vidar tra Windows

Marzo 16, 2026

Abbiamo individuato pagine fasulle del tipo «verifica che sei un utente umano» su siti WordPress compromessi, che inducono Windows a installare il malware Vidar, specializzato nel furto di informazioni.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe