Dne 25. srpna 2025 Apple vydal naléhavou bezpečnostní aktualizaci k odstranění kritické zranitelnosti zero-click (CVE-2025-43300) v rámci Image I/O. Tato chyba umožňovala zpracování upravených obrazových souborů, které mohly způsobit zápisy mimo určený rozsah paměti a libovolné spuštění kódu bez nutnosti zásahu uživatele. Tento typ exploitu, často klasifikovaný jako zero-click, je obzvláště nebezpečný pro držitele kryptoměn, protože může být použit ke kompromitaci peněženkových aplikací a přístupu k privátním klíčům uloženým v zařízení.
Apple ve svém sdělení uvedl, že existují důkazy o zneužití této zranitelnosti v sofistikovaných reálných útocích na vysoce hodnotné cíle. Postiženy jsou platformy iOS 18.6.2, iPadOS 18.6.2 a 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 a Ventura 13.7.8. Společnost zlepšila kontrolu rozsahu v knihovně Image I/O, aby opravila chyby v práci s pamětí, které umožňovaly zápisy mimo povolené hranice.
Bezpečnostní experti varují, že povaha exploitu zero-click vylučuje běžné uživatelské spouštěče, jako je otevření dokumentu nebo kliknutí na odkaz. Místo toho mohou škodliví aktéři vložit škodlivý kód do metadat obrazů šířených prostřednictvím komunikačních platforem, jako je iMessage. Po přijetí by automatické vykreslovací rutiny zařízení zpracovaly škodlivá data, což vedlo k kompromitaci zařízení a možnému odcizení citlivých informací – včetně přihlašovacích údajů k peněženkám, obnovovacích frází a autentizačních tokenů burz.
Juliano Rizzo, zakladatel kyberbezpečnostní firmy Coinspect, zdůraznil zvýšené riziko pro uživatele digitálních aktiv. Doporučil, aby vysoce hodnotné cíle okamžitě rotovaly privátní klíče a přesunuly prostředky do hardware peněženek. Obecně pro uživatele Apple doporučil okamžitou instalaci bezpečnostních aktualizací a ověření verzí nainstalovaného softwaru s varováním, že odklad záplaty by mohl zařízení vystavit dalším útokům.
Poskytovatel blockchainové analytiky CertiK zdůraznil, že podobné zero-click zranitelnosti byly v minulosti využívány hrozbami z řad států. Nová chyba Applu podtrhuje potřebu kontinuálního výzkumu zranitelností a proaktivního zveřejňování nálezů. Je to šestá zero-day zranitelnost, kterou Apple v roce 2025 řešil, což je rekordní tempo odrážející rostoucí schopnosti protivníků v reálném prostředí.
Organizace zabývající se rozsáhlými kryptoměnovými operacemi jsou vyzvány, aby provedly důkladné audity zařízení, prosadily přísné politiky aktualizací a zvážily nasazení řešení mobilní obrany schopných detekovat anomálie naznačující zero-click exploity. Vývojáři softwaru v kryptokomunitě jsou rovněž doporučováni k izolaci procesů peněženek a minimalizaci útokových ploch oddělením kritických podpisových operací od běžného aplikačního kódu.
S nasazením záplaty Apple potvrdil svůj závazek k rychlému odstraňování zranitelností a spolupráci s bezpečnostní komunitou. Uživatelé jsou odkázáni na podpůrné kanály Applu pro instrukce k aktualizaci a další pokyny k zabezpečení zařízení a digitálních aktiv v proměnlivém prostředí hrozeb.
Komentáře (0)