Il 24 marzo 2026 Apple ha rilasciato iOS 18.7.7 e iPadOS 18.7.7 inizialmente per un gruppo limitato di dispositivi — iPhone XS, XS Max, XR e iPad di settima generazione. Il 1° aprile ha esteso la disponibilità a tutti i modelli supportati, da iPhone 11 a iPhone 16. La ragione è DarkSword, un exploit kit completo che concatena sei vulnerabilità per compromettere un iPhone partendo da una visita a un sito web.
Come funziona DarkSword
DarkSword non sfrutta una singola falla. Secondo le analisi pubblicate da ricercatori di sicurezza, l’exploit kit incatena sei vulnerabilità distribuite tra WebKit, Safari, il dynamic loader e il kernel per ottenere una compromissione completa del dispositivo senza interazione aggiuntiva da parte dell’utente oltre alla visita a una pagina web. Una volta eseguita la catena, il malware trasferisce a un server remoto messaggi, cronologia di navigazione, dati di localizzazione e credenziali di applicazioni crittografiche.
La complessità dell’exploit — sei bug in componenti distinti, coordinati in sequenza — indica un lavoro di sviluppo significativo e un obiettivo preciso. Non è un opportunismo casuale.
Le CVE WebKit coinvolte
iOS 18.7.7 chiude cinque vulnerabilità in WebKit che fanno parte della catena DarkSword o che comunque rappresentavano rischi reali per chi naviga da dispositivi non aggiornati a iOS 26:
- CVE-2026-20665: bypass della Content Security Policy tramite contenuto web processato in modo non corretto.
- CVE-2026-20643: violazione della Same Origin Policy, con possibilità per script cross-origin di accedere a dati protetti.
- CVE-2025-43376: problema di DNS leakage che espone informazioni di navigazione.
- CVE-2026-28861: accesso improprio a script handler all’interno di WKWebView.
- CVE-2026-28871: vulnerabilità XSS nel motore di rendering.
Le patch kernel coprono invece tre CVE distinte: CVE-2026-28868, CVE-2026-28867 e CVE-2026-20687, che includono un use-after-free e una perdita di informazioni sullo stato del kernel.
Perché questo rilascio è insolito
Apple quasi mai rilascia aggiornamenti di sicurezza per una versione precedente del sistema operativo mentre la versione attuale — iOS 26.4, in questo caso — è già disponibile e copre le stesse vulnerabilità. Il backport su iOS 18 indica che Apple ha considerato il rischio abbastanza serio da non poter aspettare che gli utenti aggiornassero a iOS 26 autonomamente.
Non tutti i dispositivi compatibili con iOS 18 supportano iOS 26. iPhone 11 e iPhone SE di seconda generazione, ad esempio, ricevono iOS 18.7.7 ma non hanno accesso a iOS 26. Per questi utenti, il backport non è un’alternativa a un aggiornamento principale: è l’unico modo per ricevere la protezione.
Cosa riguarda gli sviluppatori
Chi sviluppa app che incorporano contenuto web tramite WKWebView deve considerare che le CVE WebKit chiuse da questo aggiornamento erano vulnerabilità attive su tutti i dispositivi non aggiornati. Gli utenti delle app su iOS 18 che non avevano ancora ricevuto iOS 18.7.7 erano esposti a CSP bypass e Same Origin Policy bypass direttamente dall’interno di una WebView.
Non c’è nulla da correggere nel codice dell’app — il fix è nell’OS. Ma vale la pena verificare, nelle eventuali politiche interne di supporto, che gli utenti su iOS 18 vengano informati dell’aggiornamento disponibile. Se l’app visualizza contenuto web non trusted tramite WKWebView, la superficie di rischio era concreta.
iOS 26.4, rilasciato il 24 marzo insieme alla prima tranche di iOS 18.7.7, copre le stesse vulnerabilità per chi è già su iOS 26.
Dispositivi coperti
iOS 18.7.7 è disponibile per iPhone XR, XS, XS Max, iPhone 11 (tutti i modelli), iPhone SE seconda generazione, iPhone 12, 13, SE terza generazione, iPhone 14, 15 e 16 (tutti i modelli). Gli iPad compatibili con iPadOS 18 ricevono iPadOS 18.7.7 con le stesse patch.
Il punto da seguire nei prossimi mesi è se Apple adotterà una politica più sistematica di backport per exploit kit di questa gravità, o se iOS 18.7.7 resterà un’eccezione isolata. La scelta ha implicazioni dirette per chi mantiene app con un ampio parco di dispositivi su versioni iOS precedenti e deve valutare il rischio residuo per i propri utenti.
