In un’epoca in cui la connettività è onnipresente e i dispositivi intelligenti sono parte integrante della nostra vita quotidiana, la sicurezza informatica non è più un optional, ma una necessità. Ogni mese, i principali produttori di chip come MediaTek pubblicano bollettini di sicurezza per informare i partner industriali e il pubblico sulle vulnerabilità scoperte nei propri prodotti.

Il bollettino di luglio 2025 di MediaTek rappresenta un esempio concreto di trasparenza e responsabilità nel settore tecnologico, evidenziando 16 nuove vulnerabilità che interessano una vasta gamma di dispositivi consumer e professionali.

Contesto e importanza del bollettino

MediaTek è uno dei principali fornitori mondiali di chip per smartphone, tablet, smart TV, dispositivi AIoT e router. I suoi SoC (System-on-Chip) alimentano milioni di dispositivi in tutto il mondo. La sicurezza di questi chip è fondamentale per proteggere dati personali, comunicazioni sensibili e infrastrutture digitali.

Il bollettino di luglio 2025 è stato pubblicato l’8 luglio e include vulnerabilità classificate secondo il sistema CVSS v3.1, che valuta la gravità delle falle di sicurezza su una scala da 0 a 10. Le vulnerabilità sono state comunicate preventivamente ai produttori di dispositivi (OEM), dando loro il tempo necessario per sviluppare e distribuire le patch.

Analisi delle vulnerabilità

Classificazione e distribuzione:

• 7 vulnerabilità ad alta gravità (High)
• 9 vulnerabilità a gravità media (Medium)

Le vulnerabilità riguardano principalmente i driver Bluetooth e WLAN, componenti critici per la connettività wireless dei dispositivi. Le tipologie di rischio includono:

• Esecuzione di codice da remoto (RCE)
• Escalation locale dei privilegi (EoP)
• Divulgazione di informazioni (ID)
• Denial of Service (DoS)

Chip interessati

Le vulnerabilità colpiscono diversi chip MediaTek, tra cui:

• MT6890, MT6895, MT6985 – utilizzati in smartphone di fascia alta
• MT7915, MT7986, MT7925 – presenti in router, smart display e dispositivi AIoT
• MT7663, MT7668, MT7921 – impiegati in TV e dispositivi multimediali

Esempi di vulnerabilità critiche

CVE-2025-20680: Heap overflow nel driver Bluetooth, che può consentire a un attaccante locale di ottenere privilegi elevati sul dispositivo.

CVE-2025-20685: Heap overflow nel driver WLAN, con possibilità di esecuzione di codice da remoto senza interazione dell’utente.

CVE-2025-20684: Scrittura fuori dai limiti, che può compromettere la stabilità del sistema e aprire la porta a exploit più complessi.

Vulnerabilità a gravità media

Queste vulnerabilità, pur essendo meno gravi, possono comunque compromettere la sicurezza e la privacy degli utenti:

CVE-2025-20687 – CVE-2025-20692: Letture fuori dai limiti che possono causare crash o divulgazione di dati sensibili.

CVE-2025-20694: Buffer underflow nel firmware Bluetooth, con rischio di interruzione del servizio da remoto.

Implicazioni per utenti e produttori

La pubblicazione di queste vulnerabilità ha diverse implicazioni: Per i produttori (OEM): È fondamentale integrare rapidamente le patch fornite da MediaTek nei firmware dei dispositivi. La tempestività è cruciale per evitare che le vulnerabilità vengano sfruttate.

Per gli utenti finali: È importante mantenere i dispositivi aggiornati, installando regolarmente gli aggiornamenti di sistema. La sicurezza dipende anche dalle buone pratiche individuali.

MediaTek e la gestione responsabile della sicurezza

MediaTek dimostra un approccio proattivo alla sicurezza, collaborando con i partner industriali e pubblicando bollettini dettagliati. Questo processo di divulgazione responsabile è essenziale per costruire fiducia nel mercato e per proteggere l’ecosistema digitale globale.

Conclusione

Il bollettino di sicurezza di luglio 2025 di MediaTek è un promemoria potente dell’importanza della cybersecurity nel mondo connesso. Le vulnerabilità scoperte, sebbene tecniche, hanno implicazioni concrete per la privacy, la sicurezza e la stabilità dei dispositivi che usiamo ogni giorno. La collaborazione tra fornitori di chip, produttori di dispositivi e utenti è la chiave per un futuro digitale sicuro. In definitiva, la sicurezza non è solo una questione tecnica, ma una responsabilità condivisa.

corp.mediatek.com/product-secu…

L'articolo Scoperte 16 falle nei chip MediaTek: smartphone e smart TV a rischio! proviene da il blog della sicurezza informatica.

Sophos ha recentemente annunciato la risoluzione di cinque vulnerabilità di sicurezza indipendenti individuate nei propri firewall, alcune delle quali di gravità critica e altre di livello alto e medio. Le vulnerabilità sono state corrette tramite hotfix distribuiti automaticamente, senza che i clienti debbano intervenire, purché sia attiva l’opzione “Consenti installazione automatica di hotfix”, che risulta abilitata di default nelle versioni interessate.

Tra le vulnerabilità corrette, spiccano due falle critiche: la prima (CVE-2025-6704) riguarda una scrittura arbitraria di file nella funzionalità Secure PDF eXchange (SPX), che può consentire l’esecuzione di codice remoto prima dell’autenticazione in configurazioni particolari in modalità High Availability (HA). La seconda (CVE-2025-7624) è una SQL injection nel proxy SMTP legacy che, se combinata con una policy di quarantena per l’email e un aggiornamento da versioni precedenti alla 21.0 GA, può anch’essa portare all’esecuzione di codice remoto. Entrambe sono state segnalate in modo responsabile da ricercatori esterni attraverso il programma bug bounty di Sophos.

Altre vulnerabilità corrette

Le altre vulnerabilità comprendono CVE-2025-7382, una command injection in WebAdmin che può consentire ad aggressori nella rete locale di eseguire codice prima dell’autenticazione su dispositivi in HA con OTP abilitato, e CVE-2024-13974, una falla nella logica di business del componente Up2Date che permette agli aggressori di controllare l’ambiente DNS del firewall per ottenere l’esecuzione di codice remoto. Infine, CVE-2024-13973 è una SQL injection post-autenticazione che potrebbe portare un amministratore autenticato a eseguire codice arbitrario. Quest’ultima è considerata di gravità media.

Versioni interessate e rilascio degli hotfix

Le correzioni sono state rese disponibili per diverse versioni del firewall. Per esempio, gli hotfix per CVE-2025-6704 sono stati rilasciati il 24 giugno 2025 per versioni come la 19.0 MR2, la 20.0 MR2, la 21.0 GA e la 21.5 GA, mentre altre vulnerabilità hanno ricevuto aggiornamenti distribuiti tra gennaio e luglio 2025. Per le vulnerabilità CVE-2024-13974 e CVE-2024-13973, le correzioni sono state incluse a partire dalla versione 21.0 MR1. Gli utenti che utilizzano versioni precedenti sono invitati a effettuare l’aggiornamento per mantenere il massimo livello di protezione.

Verifica dell’applicazione degli hotfix

Per confermare che gli hotfix siano stati correttamente applicati, Sophos consiglia di consultare la guida disponibile sul proprio portale di supporto (KBA-000010589). L’azienda ha espresso riconoscenza verso i ricercatori esterni e il National Cyber Security Centre (NCSC) del Regno Unito per la segnalazione responsabile delle vulnerabilità, sottolineando ancora una volta l’importanza della collaborazione nel rafforzamento continuo della sicurezza dei propri prodotti.

L'articolo Sophos risolve cinque vulnerabilità in Sophos Firewall, due delle quali classificate come critiche proviene da il blog della sicurezza informatica.

La mia personale selezione

LIBRI per l’Estate:

1. Roberto Baldoni, Sovranità digitale. Cos’è e quali sono le principali minacce al cyberspazio nazionale (Il Mulino, 2025)

Gli attacchi cibernetici, la disinformazione globale, l’uso letale dell’intelligenza artificiale, sono le diverse espressioni in cui si declina oggi la guerra algoritmica e rappresentano la maggiore minaccia alla sovranità digitale. Roberto Baldoni disegna un manuale di sopravvivenza di fronte ai rischi della perdita del controllo dl cyberspace.

• David Colon, La Guerra dell’Informazione. Gli Stati alla conquista delle nostre menti (Piccola Biblioteca Einaudi, 2025).

Secondo il professore francese, docente di Storia della comunicazione, media e propaganda presso lo Sciences Po Centre d’Histoire di Parigi, nell’era dell’intelligenza artificiale e della guerra cognitiva, i mezzi di comunicazione tradizionali prima e i social media dopo sono il teatro di un conflitto senza esclusione di colpi, che ha come posta in gioco le nostre menti.

• Francesco Filippi, Cinquecento anni di rabbia. Rivolte e mezzi di comunicazione da Gutenberg a Capitol Hill (Bollati Boringhieri, 2024)

L’invenzione della stampa a caratteri mobili e la capillare diffusione di fogli stampati favorì non solo alla fine del monopolio nell’interpretazione della parola di Dio ma l’organizzazione delle rivolte contadine del ‘600. I social media che favoriscono la polarizzazione delle opinioni hanno portato la fine dell’illusione delle democrazia americana favorendo l’assalto al Congresso degli Stati Uniti, a Capitol Hill, Il 6 gennaio 2021 da parte di una folla inferocita. Filippi racconta lo stretto rapporto che intercorre tra le rivolte e i mezzi di comunicazione dal Cinquecento a oggi. Con un messaggio centrale: chi controlla i mezzi di informazione domina il racconto pubblico e controlla il potere.

• Chris Miller, ChipWar. La sfida tra Cina e Usa per la tecnologia che deciderà il nostro futuro (Garzanti, 2024).

L’autore nel saggio ricostruisce in modo approfondito il complesso scontro geopolitico in atto tra Usa e Cina per il controllo dello sviluppo e della produzione dei microprocessori.

• Antony Loewenstein, Laboratorio Palestina. Come Israele esporta la tecnologia dell’occupazione in tutto il mondo (Fazi Editore, 2024).

Il miracolo economico e cibernetico israeliano è frutto della logica di sopraffazione ai danni del popolo palestinese che, stretto nei territori occupati, è il bersaglio perfetto delle sue tecnologie della sorveglianza e di repressione, le cui qualità possono essere appunto osservate, anche dai compratori, sul campo.

• Yuval Noah Harari, Nexus. Breve storia delle reti di informazione dall’età della pietra all’IA (Bompiani, 2024).

Lo studioso ripercorre la storia della comunicazione dagli albori ad oggi per raccontare come la disinformazione sia un potente strumento di controllo usato da ogni istituzione totale in senso foucaultiano. Con una tesi peculiare: la sovrabbondanza di notizie nel libero mercato dell’informazione non ci salverà.

• Davide Bennato, La società del XXI secolo. Persone dati e tecnologie, (Laterza, 2024)

Nel suo libro Davide Bennato si chiede se noi siamo il nostro profilo Facebook, se è possibile che il Bitcoin abbia prodotto una crisi in Kazakstan, se le IA siano agenti sociali oppure no. Racconta perché esistono e a cosa servono i Big-Data, cos’è il Dataismo (la religione dei dati), come i dati diventano il carburante dell’intelligenza artificiale e come accelerino le mutazioni antropologiche che stiamo vivendo.

• Matteo Pasquinelli, The Eye of the Master. A social history of Artificial Intelligence (Verso Books 2023).

La tesi dell’autore, non proprio originale, ma molto documentata e rigorosamente descritta nel libro, è che l’IA rappresenti solo un altro passaggio dell’automazione del lavoro umano che porta inevitabilmente all’alienazione del lavoratore separandolo dal prodotto della sua fatica. Prima accadeva con l’operaio specializzato, oggi accade ai turchi meccanici che annotano i dati di addestramento dell’IA e si occupano dell’allineamento di ChatGPT.

• Sam Kean, La Brigata dei bastardi. La vera storia degli scienziati e delle spie che sabotarono la bomba atomica nazista (Adelphi, 2022).

Sam Kean racconta la storia dell’impresa degli uomini straordinari che cercarono in tutti i modi di impedire alla Germania di costruire la bomba atomica. La bomba, ne erano convinti, avrebbe cambiato le sorti della guerra, e del mondo. E chi ci lavorava andava fermato.

dicorinto.it/articoli/libri-co…

“Il tetto di sei mesi per i licenziamenti è incostituzionale”. La Consulta dá ragione alla Cgil. Per la Corte “il criterio fisso non garantisce adeguatezza e congruità del risarcimento”. La sua cancellazione faceva parte dei quesiti al referendum

Nonostante il menefreghismo dei lavoratori Italiani il sindacato è riuscito lo stesso a far sparire una norma ingiusta.

Peccato che ne beneficieranno anche quelli a cui non importa nulla dei loro diritti. Gente che magari si convincerà anche che in fondo hanno fatto bene a starsene a casa tanto poi il risultato lo raggiunge qualcuno altro per loro.

cgiltoscana.it/2025/07/21/il-t…

Entra ufficialmente nel calendario dei lavori del Consiglio regionale della Valle d’Aosta la proposta di legge regionale “Liberi Subito”, volta a garantire tempi e procedure certe per l’accesso al suicidio medicalmente assistito, nel rispetto dei principi indicati dalla sentenza 242/2019 della Corte costituzionale.

La discussione della proposta figura infatti nel calendario del Consiglio regionale per i lavori dal 22 al 24 luglio, come punto 12 dell’ordine del giorno e confidiamo che il Consiglio affronti il tema con serietà e responsabilità verso i propri cittadini come già fatto dalla Regione Toscana.

Il testo della proposta, depositato nel febbraio 2024 dalle consigliere regionali di opposizione Erika Guichardaz e Chiara Minelli, ha iniziato l’iter di discussione il 3 luglio dello scorso anno. L’approvazione del testo rappresenterebbe un primo passo per regolamentare, nel rispetto dei principi costituzionali e delle competenze regionali, l’accesso al suicidio medicalmente assistito per le persone che si trovano nelle condizioni definite dalla sentenza 242/2019: persone maggiorenni, capaci di autodeterminarsi, affetti da patologie irreversibili e fonte di sofferenze fisiche o psicologiche intollerabili, tenuti in vita da trattamenti di sostegno vitale.

“A quasi sei anni dalla sentenza 242 – dichiara Marco Cappato – non possiamo accettare che i cittadini debbano ancora affrontare ostacoli, attese e arbitri, pur avendo diritto ad accedere legalmente al suicidio assistito. La proposta “Liberi Subito” si muove nel solco tracciato dalla Corte costituzionale nel rispetto delle competenze regionali. Non introduce quindi un nuovo diritto, ma si limita a regolamentare le procedure sanitarie di accertamento delle condizioni di salute della persona che fa richiesta di accesso alla pratica. Auspichiamo che il Consiglio regionale della Valle d’Aosta, al di là delle appartenenze politiche, dia prova di responsabilità e rispetto per la volontà delle persone malate”.

— Approfondimento: le Regioni coinvolte dalle Proposte di legge sul Fine vita —

La sentenza 242/2019 della Corte costituzionale sul caso Cappato/Antoniani, garantisce l’accesso all’aiuto alla morte volontaria, il cosiddetto “suicidio assistito” nel nostro Paese, individuando determinate condizioni per la persona malata che ne faccia richiesta che devono essere verificate dal Servizio Sanitario Nazionale.

Il Servizio Sanitario però non garantisce tempi certi per effettuare le verifiche e rispondere alle persone malate che hanno diritto di porre fine alla propria vita. Per questo motivo, nel rispetto delle competenze regionali, l’Associazione Luca Coscioni ha promosso a livello nazionale la campagna “Liberi Subito” con raccolta firme per proposte di legge regionali che garantiscano il percorso di richiesta di suicidio medicalmente assistito e i controlli necessari in tempi certi, adeguati e definiti.

Per conoscere lo stato dell’arte delle singole iniziative CLICCA QUI

L'articolo In Valle d’Aosta comincia domani la discussione su “Liberi Subito” proviene da Associazione Luca Coscioni.