El 25 d’agost de 2025, Apple va publicar una actualització urgent de seguretat per mitigar una vulnerabilitat crÃtica de zero clic (CVE-2025-43300) dins del seu marc Image I/O. La fallada permetia el processament d’arxius d’imatge creats de manera maliciosa que podien desencadenar escriptures de memòria fora de lÃmits i l’execució arbitrà ria de codi sense necessitat d’interacció per part de l’usuari. Aquest tipus d’explotació, sovint classificada com a zero clic, és particularment perillosa per als posseïdors de criptomonedes, ja que pot utilitzar-se per comprometre aplicacions de cartera i accedir a claus privades emmagatzemades en un dispositiu.
L’avÃs d’Apple indicava que hi ha proves que la vulnerabilitat s’ha explotat en atacs sofisticats en el món real contra objectius d’alt valor. Les plataformes afectades inclouen iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. L’empresa va millorar la comprovació dels lÃmits a la biblioteca Image I/O per corregir deficiències en la gestió de la memòria que permetien escriptures fora de l’abast.
Els experts en seguretat adverteixen que la naturalesa zero clic de l’explotació elimina els desencadenants habituals impulsats per l’usuari, com ara obrir un document o fer clic en un enllaç. En canvi, actors maliciosos poden incrustar cà rregues útils dins de metadades d’imatge distribuïdes a través de plataformes de missatgeria com iMessage. En rebre-les, les rutines automà tiques de renderització d’imatges del dispositiu processarien les dades malicioses, provocant la compromissió del dispositiu i el possible robatori d’informació sensible—incloent-hi credencials de carteres de criptomonedes, frases de recuperació i tokens d’autenticació d’intercanvis.
Juliano Rizzo, fundador de la firma de ciberseguretat Coinspect, va emfatitzar el risc elevat per als usuaris d’actius digitals. Va aconsellar que els objectius d’alt valor roten immediatament les claus privades i migrin les seves possessions a carteres de maquinari. Per als usuaris generals, Apple va recomanar la instal·lació rà pida de les actualitzacions de seguretat i la verificació de les versions del programari instal·lat, advertint que endarrerir el pegat podria deixar els dispositius exposats a més atacs.
El proveïdor d’analÃtica blockchain CertiK va destacar que vulnerabilitats de zero clic similars han estat utilitzades per actors estatals en campanyes anteriors. La nova fallada d’Apple subratlla la necessitat d’una recerca contÃnua de vulnerabilitats i de prà ctiques de divulgació proactiva. Marca el sisè zero-day abordat per Apple el 2025, un ritme rècord que reflecteix l’augment de les capacitats adversà ries en el terreny.
Es fa una crida a les organitzacions que gestionen operacions a gran escala de criptomonedes per realitzar auditories exhaustives de dispositius, aplicar polÃtiques estrictes d’actualització i considerar solucions de defensa contra amenaces mòbils que puguin detectar comportaments anòmals indicatius d’explotacions zero clic. També es recomana als desenvolupadors de programari en l’ecosistema cripto aïllar els processos de cartera i minimitzar les superfÃcies d’atac desacoplant les operacions crÃtiques de signatura del codi de les aplicacions de propòsit general.
Amb el desplegament del pegat ja en vigor, Apple va reafirmar el seu compromÃs amb la mitigació rà pida de vulnerabilitats i la col·laboració amb la comunitat de recerca en seguretat. Els usuaris són dirigits als canals de suport d’Apple per a instruccions d’actualització i més orientació per assegurar dispositius i actius digitals en un panorama de menaces en evolució.
Comentaris (0)