25 avqust 2025-ci ildə Apple Image I/O çərçivəsində kritik zero-click zəifliyini (CVE-2025-43300) aradan qaldırmaq üçün təcili təhlükəsizlik yeniləməsi yayımladı. Bu boşluq istifadəçinin müdaxiləsi olmadan xətalı şəkil fayllarının işlənməsinə və yaddaşdan kənar yazmalara və istənilən kodun icrasına səbəb ola bilirdi. Bu tip exploit, adətən zero-click olaraq təsnif edilir və kriptovalyuta sahibləri üçün xüsusilə təhlükəlidir, çünki bu, cihazda saxlanılan pulqabı tətbiqlərinin pozulmasına və şəxsi açarların ələ keçirilməsinə imkan verir.
Apple-ın məsləhətində qeyd olunur ki, bu zəifliyin yüksək dəyərli hədəflərə qarşı mürəkkəb real hücumlarda istismar edildiyinə dair sübutlar var. Təhlükə altındakı platformalara iOS 18.6.2, iPadOS 18.6.2 və 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 və Ventura 13.7.8 daxildir. Şirkət Image I/O kitabxanasında yaddaş idarəsi çatışmazlıqlarını aradan qaldırmaq üçün sərhəd yoxlamalarını gücləndirdi.
Təhlükəsizlik mütəxəssisləri xəbərdarlıq edir ki, exploit-in zero-click olması istifadəçinin sənəd açması və ya linkə klikləməsi kimi adi tetikleyiciləri aradan qaldırır. Bunun əvəzinə zərərli aktorlar iMessage kimi mesajlaşma platformalarında paylaşılan şəkil metadata-larına zərərli yükləri yerləşdirə bilər. Cihaz həmin məzmunu avtomatik şəkildə işlədərkən zərərli məlumatı icra edir, nəticədə cihaz kompromitasiya olunur və kriptovalyuta pulqabı məlumatları, bərpa ifadələri və mübadilə autentifikasiya tokenləri oğurlana bilər.
Cybersəslik şirkəti Coinspect-in təsisçisi Juliano Rizzo rəqəmsal aktiv istifadəçiləri yüksək risk barədə xəbərdar etdi. O, yüksək dəyərli hədəflərin dərhal şəxsi açarlarını dəyişdirməsini və pul vəsaitlərini hardware pulqabılarına köçürmələrini tövsiyə etdi. Ümumi istifadəçilər üçün Apple təhlükəsizlik yeniləmələrinin tezliklə quraşdırılmasını və proqram təminatının versiyalarının yoxlanmasını məsləhət gördü, patch-lərin təxirə salınmasının cihazların əlavə hücumlardan zərər görmə riskini artırdığı barədə xəbərdarlıq etdi.
Blockchain analitik xidməti CertiK oxşar zero-click zəifliklərinin əvvəlki kampaniyalarda dövlət təhlükə aktorları tərəfindən istifadə olunduğunu vurğuladı. Apple-ın yeni boşluğu davamlı zəiflik araşdırmaları və proaktiv açıqlama praktikalarının vacibliyini bir daha göstərir. Bu, 2025-ci ildə Apple tərəfindən aradan qaldırılan altıncı zero-day zəiflikdir və yabançı düşmən qabiliyyətlərinin sürətlə artdığını göstərən rekord bir göstəricidir.
Böyük həcmli kriptovalyuta əməliyyatları həyata keçirən təşkilatlara cihazların tam auditini aparmaları, sərt yeniləmə siyasətlərini tətbiq etmələri və zero-click exploitləri göstərən anormallıqları təsbit edə bilən mobil təhlükəsizlik həllərini nəzərdən keçirmələri tövsiyə edilir. Kripto ekosistemində proqram təminatçıları isə pulqabı proseslərini izolyasiya etməli və mühüm imzalama əməliyyatlarını ümumi tətbiq kodundan ayıraraq hücum səthini minimallaşdırmalıdır.
Patch-in yayımlanması ilə Apple zəifliyin sürətlə aradan qaldırılması və təhlükəsizlik tədqiqatları icması ilə əməkdaşlığa sadiqliyini bir daha təsdiqlədi. İstifadəçilər yeniləmələr barədə göstəriş və cihazların, rəqəmsal aktivlərin təhlükəsizliyinin təmin olunması ilə bağlı əlavə məlumat üçün Apple-ın dəstək kanallarına müraciət etmələri tövsiyə olunur.
Şərhlər (0)