2025-ci il avqustun 25-də Apple Image I/O çərçivəsində kritik sıfır-tıklama zəifliyini (CVE-2025-43300) aradan qaldırmaq üçün təcili təhlükəsizlik yeniləməsi təqdim etdi. Bu səhv hazırlanmış şəkil fayllarının işlənməsinə imkan verirdi ki, nəticədə istifadəçinin iştirakı olmadan yaddaşdan kənar yazılar və istənilən kodun icrası baş verə bilərdi. Bu cür zorakılıq, adətən sıfır-tıklama kimi təsnif edilir və kriptovalyuta sahibləri üçün xüsusilə təhlükəlidir, çünki o, cüzdan tətbiqlərini pozmaq və cihazda saxlanılan şəxsi açarlara giriş əldə etmək üçün istifadə oluna bilər.
Apple xəbərdarlığında, zəifliyin yüksək dəyərli hədəflərə qarşı mürəkkəb real hücumlardan istifadə edildiyinə dair sübutların mövcud olduğu qeyd olunurdu. Təsirlənmiş platformalara iOS 18.6.2, iPadOS 18.6.2 və 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 və Ventura 13.7.8 daxildir. Şirkət Image I/O kitabxanasında yaddaşın düzgün idarə olunmaması səbəbindən yaranan yaddaşdan kənar yazı problemlərini aradan qaldırmaq üçün sərhəd yoxlamalarını gücləndirdi.
Təhlükəsizlik mütəxəssisləri xəbərdarlıq edirlər ki, bu sıfır-tıklama zəifliyi istifadəçinin sənəd açması və ya linkə klik etməsi kimi adi tetikleyiciləri aradan qaldırır. Bunun əvəzinə, zərərli şəxslər iMessage kimi mesajlaşma platformalarında paylaşılan şəkil metadata-sına zərərli proqram qoya bilərlər. Cihaz şəkilləri avtomatik emal etdikdə zərərli məlumat işlənəcək, cihaz kompromisə uğrayacaq və buna görə də kriptovalyuta cüzdanının giriş məlumatları, bərpa sözləri və mübadilə autentifikasiya tokenləri oğurlana bilər.
Cybersecurity firması Coinspect-in qurucusu Juliano Rizzo rəqəmsal aktiv istifadəçiləri üçün riskin artmasına diqqət çəkdi. O, yüksək dəyərli hədəflərin dərhal şəxsi açarları dəyişdirməsini və saxlamaları aparat cüzdanlarına köçürməsini tövsiyə etdi. Ümumi istifadəçilər üçün Apple təhlükəsizlik yeniləmələrinin dərhal quraşdırılmasını və proqram versiyalarının yoxlanmasını məsləhət gördü, yubanmanın cihazları əlavə hücuma məruz qoyacağını xəbərdar etdi.
Blockchain analitikası təminatçısı CertiK bildirdi ki, oxşar sıfır-tıklama zəifliklərindən əvvəlki kampaniyalarda dövlət səviyyəli təhdid aktorları istifadə edib. Yeni Apple zəifliyi davamlı zəiflik araşdırmalarının və qabaqlayıcı açıqlama praktikalarının vacibliyini vurğulayır. Bu, 2025-ci ildə Apple tərəfindən düzəldilən altıncı sıfır-gün zəifliyidir və bu, açıq səthdə artan düşmən qabiliyyətlərini əks etdirən rekord tempdir.
Geniş miqyaslı kriptovalyuta əməliyyatlarını idarə edən təşkilatlar cihazların ətraflı auditi aparmağa, sərt yeniləmə siyasətlərini tətbiq etməyə və sıfır-tıklama exploits-nin anomaliyalarını aşkar edə biləcək mobil təhdid müdafiəsi həllərini nəzərdən keçirməyə çağırılır. Kripto ekosistemində proqram təminatçılarına isə cüzdan proseslərini təcrid etmələri və kritik imzalama əməliyyatlarını ümumi məqsədli proqram kodundan ayıraraq hücum səthlərini minimallaşdırmaları məsləhət görülür.
Yeniləmə artıq istifadəyə verildiyi üçün Apple sürətli zəiflik aradan qaldırılması və təhlükəsizlik araşdırma icması ilə əməkdaşlığa sadiqliyini təsdiqlədi. İstifadəçilər cihazların və rəqəmsal aktivlərin təhlükəsizliyinin təmin edilməsi barədə əlavə göstərişlər üçün Apple-ın dəstək kanallarına müraciət etməyə yönləndirilib.
Şərhlər (0)