На 25 август 2025 г. Apple издаде спешна актуализация за сигурност, за да отстрани критична уязвимост без необходимост от взаимодействие (CVE-2025-43300) в своята Image I/O рамка. Проблемът позволяваше обработката на специално подготвени файлове с изображения, които могат да предизвикат запис извън границите на паметта и изпълнение на произволен код без нужда от намеса на потребителя. Този тип експлоатация, често класифицирана като zero-click, е особено опасен за притежателите на криптовалути, тъй като може да бъде използван за компрометиране на портфейлни приложения и достъп до частни ключове, съхранявани на устройството.
Консултацията на Apple посочи, че има доказателства за използване на уязвимостта в сложни реални атаки срещу високостойностни цели. Засегнатите платформи включват iOS 18.6.2, iPadOS 18.6.2 и 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 и Ventura 13.7.8. Компанията подобри проверката на границите в Image I/O библиотеката, за да коригира недостатъците в обработката на паметта, които позволяваха запис извън обхвата.
Експертите по сигурност предупреждават, че zero-click характерът на експлоатацията премахва типичните потребителски тригери, като отваряне на документ или кликване на връзка. Вместо това, злонамерени лица могат да вграждат полезни натоварвания в метаданните на изображения, разпространявани чрез платформи за съобщения като iMessage. След получаването им, автоматичните процедури за рендиране на изображението на устройството обработват злонамерените данни, водейки до компрометиране на устройството и потенциална кражба на чувствителна информация – включително данни за криптовалутни портфейли, възстановителни фрази и удостоверителни токени за борси.
Джулиано Рицо, основател на киберсигурностната фирма Coinspect, подчерта повишения риск за потребителите на дигитални активи. Той препоръча високостойностните цели незабавно да сменят частните ключове и да прехвърлят средствата си към хардуерни портфейли. За общите потребители Apple препоръча бързо инсталиране на актуализациите за сигурност и проверка на инсталираните софтуерни версии, предупреждавайки, че забавянето на пача може да изложи устройствата на допълнителни атаки.
Доставчикът на анализи на блокчейн CertiK отбеляза, че подобни zero-click уязвимости са били използвани от държавни актьори в предишни кампании. Новата уязвимост на Apple подчертава необходимостта от непрекъснати изследвания на уязвимости и проактивно разкриване. Това е шестата нулева дневна уязвимост, решена от Apple през 2025 г., което отбелязва рекордна честота, отразяваща нарастващите способности на противниците в реалната среда.
Организациите, които работят с мащабни крипто операции, са призовани да провеждат подробни одити на устройствата, да прилагат строги политики за актуализации и да обмислят решения за мобилна защита, които могат да откриват аномални поведения, характерни за zero-click експлоатации. Софтуерните разработчици в криптоекосистемата също са посъветвани да изолират процесите на портфейлите и да минимизират повърхностите на атаки чрез отделяне на критичните операции по подписване от общите кодове на приложенията.
С пускането на пача Apple потвърди своя ангажимент за бързо намаляване на уязвимостите и сътрудничество с общността на изследователите по сигурността. Потребителите са насочени към каналите за поддръжка на Apple за инструкции за актуализация и допълнителни насоки за защитата на устройствата и дигиталните активи в променящата се заплахова среда.
Коментари (0)