Στις 25 Αυγούστου 2025, η Apple εξέδωσε μια επείγουσα ενημέρωση ασφαλείας για να μετριάσει μια κρίσιμη ευπάθεια μηδενικού κλικ (CVE-2025-43300) στο πλαίσιο Image I/O. Η ευπάθεια επέτρεπε την επεξεργασία χειροποίητων αρχείων εικόνας που μπορούσαν να προκαλέσουν εγγραφές μνήμης εκτός ορίων και αυθαίρετη εκτέλεση κώδικα χωρίς να απαιτείται αλληλεπίδραση από τον χρήστη. Αυτός ο τύπος εκμετάλλευσης, που συχνά ταξινομείται ως μηδενικού κλικ, είναι ιδιαίτερα επικίνδυνος για κατόχους κρυπτονομισμάτων, καθώς μπορεί να χρησιμοποιηθεί για την παραβίαση εφαρμογών πορτοφολιών και την πρόσβαση σε ιδιωτικά κλειδιά αποθηκευμένα σε μια συσκευή.
Στην ανακοίνωσή της, η Apple σημείωσε ότι υπάρχουν αποδείξεις ότι η ευπάθεια έχει εκμεταλλευτεί σε εξελιγμένες επιθέσεις στον πραγματικό κόσμο εναντίον στόχων υψηλής αξίας. Οι επηρεαζόμενες πλατφόρμες περιλαμβάνουν τα iOS 18.6.2, iPadOS 18.6.2 και 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 και Ventura 13.7.8. Η εταιρεία ενίσχυσε τον έλεγχο ορίων στη βιβλιοθήκη Image I/O για να διορθώσει ελλείψεις διαχείρισης μνήμης που επέτρεπαν εγγραφές εκτός ορίων.
Οι ειδικοί ασφαλείας προειδοποιούν ότι ο χαρακτήρας μηδενικού κλικ της εκμετάλλευσης εξαλείφει τους τυπικούς χρήστη-ενεργοποιημένους παράγοντες, όπως το άνοιγμα εγγράφου ή το κλικ σε σύνδεσμο. Αντίθετα, κακόβουλοι παράγοντες μπορούν να ενσωματώσουν κακόβουλα φορτία μέσα σε μεταδεδομένα εικόνας που διανέμονται μέσω πλατφορμών μηνυμάτων όπως το iMessage. Μετά την παραλαβή, οι αυτόματες διαδικασίες απόδοσης εικόνας της συσκευής θα επεξεργάζονταν τα κακόβουλα δεδομένα, οδηγώντας σε παραβίαση της συσκευής και πιθανή κλοπή ευαίσθητων πληροφοριών — συμπεριλαμβανομένων των διαπιστευτηρίων πορτοφολιών κρυπτονομισμάτων, φράσεων ανάκτησης και διακριτικών ταυτοποίησης σε ανταλλακτήρια.
Ο Juliano Rizzo, ιδρυτής της εταιρείας κυβερνοασφάλειας Coinspect, τόνισε τον αυξημένο κίνδυνο για τους χρήστες ψηφιακών περιουσιακών στοιχείων. Σύστησε στους στόχους υψηλής αξίας να αλλάξουν αμέσως τα ιδιωτικά τους κλειδιά και να μεταφέρουν τις κρατήσεις σε hardware πορτοφόλια. Για τους γενικούς χρήστες, η Apple συνέστησε την άμεση εγκατάσταση των ενημερώσεων ασφαλείας και την επαλήθευση των εγκατεστημένων εκδόσεων λογισμικού, προειδοποιώντας ότι η καθυστέρηση της ενημέρωσης μπορεί να αφήσει τις συσκευές εκτεθειμένες σε περαιτέρω επιθέσεις.
Ο πάροχος αναλύσεων blockchain CertiK επισήμανε ότι παρόμοιες ευπάθειες μηδενικού κλικ έχουν αξιοποιηθεί από δραστηριότητες απειλών κρατικών φορέων σε προηγούμενες καμπάνιες. Η νέα ευπάθεια της Apple υπογραμμίζει την ανάγκη για συνεχή έρευνα ευπαθειών και προληπτικές πρακτικές αποκάλυψης. Σηματοδοτεί την έκτη μηδενικής ημέρας ευπάθεια που αντιμετωπίζει η Apple το 2025, έναν ρυθμό ρεκόρ που αντανακλά τις αυξανόμενες ικανότητες των αντιπάλων στο πεδίο.
Οι οργανισμοί που διαχειρίζονται μεγάλες επιχειρήσεις κρυπτονομισμάτων καλούνται να διενεργούν εκτενείς ελέγχους συσκευών, να εφαρμόζουν αυστηρές πολιτικές ενημέρωσης και να εξετάζουν λύσεις αντιμετώπισης απειλών κινητών που μπορούν να ανιχνεύουν ανώμαλες συμπεριφορές ενδεικτικές εκμεταλλεύσεων μηδενικού κλικ. Οι προγραμματιστές λογισμικού στο οικοσύστημα της κρυπτογράφησης συμβουλεύονται επίσης να απομονώσουν τις διαδικασίες πορτοφολιών και να ελαχιστοποιήσουν τις επιφάνειες επίθεσης αποσυνδέοντας κρίσιμες λειτουργίες υπογραφής από τον γενικό κώδικα εφαρμογής.
Με την κυκλοφορία της ενημέρωσης ήδη σε εξέλιξη, η Apple επιβεβαίωσε τη δέσμευσή της για ταχεία αντιμετώπιση ευπαθειών και συνεργασία με την κοινότητα ερευνητών ασφαλείας. Οι χρήστες καλούνται να απευθυνθούν στα κανάλια υποστήριξης της Apple για οδηγίες ενημέρωσης και περαιτέρω καθοδήγηση σχετικά με την ασφάλεια συσκευών και ψηφιακών περιουσιακών στοιχείων στο εξελισσόμενο τοπίο απειλών.
Σχόλια (0)