El 25 d’agost de 2025, Apple va publicar una actualitzaciĂł urgent de seguretat per mitigar una vulnerabilitat crĂtica de zero clic (CVE-2025-43300) dins del seu marc Image I/O. La fallada permetia el processament d’arxius d’imatge creats de manera maliciosa que podien desencadenar escriptures de memòria fora de lĂmits i l’execuciĂł arbitrĂ ria de codi sense necessitat d’interacciĂł per part de l’usuari. Aquest tipus d’explotaciĂł, sovint classificada com a zero clic, Ă©s particularment perillosa per als posseĂŻdors de criptomonedes, ja que pot utilitzar-se per comprometre aplicacions de cartera i accedir a claus privades emmagatzemades en un dispositiu.
L’avĂs d’Apple indicava que hi ha proves que la vulnerabilitat s’ha explotat en atacs sofisticats en el mĂłn real contra objectius d’alt valor. Les plataformes afectades inclouen iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. L’empresa va millorar la comprovaciĂł dels lĂmits a la biblioteca Image I/O per corregir deficiències en la gestiĂł de la memòria que permetien escriptures fora de l’abast.
Els experts en seguretat adverteixen que la naturalesa zero clic de l’explotació elimina els desencadenants habituals impulsats per l’usuari, com ara obrir un document o fer clic en un enllaç. En canvi, actors maliciosos poden incrustar cà rregues útils dins de metadades d’imatge distribuïdes a través de plataformes de missatgeria com iMessage. En rebre-les, les rutines automà tiques de renderització d’imatges del dispositiu processarien les dades malicioses, provocant la compromissió del dispositiu i el possible robatori d’informació sensible—incloent-hi credencials de carteres de criptomonedes, frases de recuperació i tokens d’autenticació d’intercanvis.
Juliano Rizzo, fundador de la firma de ciberseguretat Coinspect, va emfatitzar el risc elevat per als usuaris d’actius digitals. Va aconsellar que els objectius d’alt valor roten immediatament les claus privades i migrin les seves possessions a carteres de maquinari. Per als usuaris generals, Apple va recomanar la instal·lació rà pida de les actualitzacions de seguretat i la verificació de les versions del programari instal·lat, advertint que endarrerir el pegat podria deixar els dispositius exposats a més atacs.
El proveĂŻdor d’analĂtica blockchain CertiK va destacar que vulnerabilitats de zero clic similars han estat utilitzades per actors estatals en campanyes anteriors. La nova fallada d’Apple subratlla la necessitat d’una recerca contĂnua de vulnerabilitats i de prĂ ctiques de divulgaciĂł proactiva. Marca el sisè zero-day abordat per Apple el 2025, un ritme rècord que reflecteix l’augment de les capacitats adversĂ ries en el terreny.
Es fa una crida a les organitzacions que gestionen operacions a gran escala de criptomonedes per realitzar auditories exhaustives de dispositius, aplicar polĂtiques estrictes d’actualitzaciĂł i considerar solucions de defensa contra amenaces mòbils que puguin detectar comportaments anòmals indicatius d’explotacions zero clic. TambĂ© es recomana als desenvolupadors de programari en l’ecosistema cripto aĂŻllar els processos de cartera i minimitzar les superfĂcies d’atac desacoplant les operacions crĂtiques de signatura del codi de les aplicacions de propòsit general.
Amb el desplegament del pegat ja en vigor, Apple va reafirmar el seu compromĂs amb la mitigaciĂł rĂ pida de vulnerabilitats i la col·laboraciĂł amb la comunitat de recerca en seguretat. Els usuaris sĂłn dirigits als canals de suport d’Apple per a instruccions d’actualitzaciĂł i mĂ©s orientaciĂł per assegurar dispositius i actius digitals en un panorama de menaces en evoluciĂł.
Comentaris (0)