El 25 d’agost de 2025, Apple va publicar una actualització urgent de seguretat per mitigar una vulnerabilitat crÃtica de zero clics (CVE-2025-43300) dins del seu marc Image I/O. La fallada permetia el processament d’arxius d’imatge manipulats que podien desencadenar escriptures de memòria fora de lÃmits i l’execució de codi arbitrari sense necessitat d’interacció de l’usuari. Aquest tipus d’explotació, sovint classificada com a zero clics, és especialment perillosa per als posseïdors de criptomonedes, ja que es pot utilitzar per comprometre aplicacions de carteres i accedir a claus privades emmagatzemades en un dispositiu.
L’avÃs d’Apple assenyalava que hi ha proves que la vulnerabilitat s’ha explotat en atacs sofisticats del món real contra objectius d’alt valor. Les plataformes afectades inclouen iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. L’empresa ha millorat la verificació de lÃmits en la biblioteca Image I/O per corregir deficiències en la gestió de memòria que permetien escriptures fora de l’abast.
Els experts en seguretat alerten que la naturalesa zero clic del explot permet eliminar els desencadenants tÃpics basats en l’usuari, com ara obrir un document o clicar un enllaç. En canvi, els actors maliciosos poden encabir cà rregues malicioses dins de metadades d’imatges distribuïdes a través de plataformes de missatgeria com iMessage. En rebre-les, les rutines drenderització automà tica d’imatges del dispositiu processarien les dades malicioses, provocant el compromÃs del dispositiu i el possible robatori d’informació sensible — incloent-hi credencials de carteres de criptomonedes, frases de recuperació i tokens d’autenticació d’intercanvis.
Juliano Rizzo, fundador de l’empresa de ciberseguretat Coinspect, va emfatitzar el risc elevat per als usuaris d’actius digitals. Va aconsellar que els objectius d’alt valor rotin immediatament les claus privades i migrin les seves posesions a carteres fÃsiques. Per als usuaris generals, Apple va recomanar la instal·lació rà pida de les actualitzacions de seguretat i la verificació de la versió del programari instal·lat, advertint que retardar el pegat podria deixar els dispositius exposats a més atacs.
El proveïdor d’analÃtica blockchain CertiK va destacar que vulnerabilitats similars de zero clics han estat aprofitades per actors estatals en campanyes anteriors. La nova fallada d’Apple subratlla la necessitat d’una investigació contÃnua de vulnerabilitats i prà ctiques proactives de divulgació. Marca el sisè zero-day abordat per Apple el 2025, un ritme rècord que reflecteix la creixent capacitat adversà ria en el medi.
Es recomana a les organitzacions que gestionen operacions massives de criptomonedes que realitzin auditories exhaustives dels dispositius, implementin polÃtiques estrictes d’actualització i considerin solucions de defensa contra amenaces mòbils capaces de detectar comportaments anòmals indicatius d’explotacions zero clics. També es recomana als desenvolupadors de programari dins de l’ecosistema cripto aïllar els processos de cartera i minimitzar les superfÃcies d’atac desacoplant les operacions crÃtiques de signatura del codi d’aplicació d’ús general.
Amb el desplegament del pegat ja actiu, Apple reafirmà el seu compromÃs amb la mitigació rà pida de vulnerabilitats i la col·laboració amb la comunitat de recerca en seguretat. Els usuaris són dirigits als canals d’assistència d’Apple per obtenir instruccions d’actualització i més orientacions per protegir els dispositius i actius digitals en el panorama de menaces en evolució.
Comentaris (0)