Στις 25 Αυγούστου 2025, η Apple εξέδωσε μια επείγουσα ενημέρωση ασφαλείας για να αντιμετωπίσει μια κρίσιμη ευπάθεια μηδενικού κλικ (CVE-2025-43300) στο πλαίσιο εργασίας Image I/O της. Το σφάλμα επέτρεπε την επεξεργασία κατασκευασμένων αρχείων εικόνας που μπορούσαν να προκαλέσουν αναγνώσεις και εγγραφές μνήμης εκτός ορίων και εκτέλεση αυθαίρετου κώδικα χωρίς να απαιτείται η αλληλεπίδραση του χρήστη. Αυτός ο τύπος εκμετάλλευσης, συχνά κατηγοριοποιούμενος ως μηδενικού κλικ, είναι ιδιαίτερα επικίνδυνος για τους κατόχους κρυπτονομισμάτων, καθώς μπορεί να χρησιμοποιηθεί για να παραβιάσει εφαρμογές πορτοφολιών και να αποκτήσει πρόσβαση σε ιδιωτικά κλειδιά που είναι αποθηκευμένα στη συσκευή.
Στην ανακοίνωσή της, η Apple σημείωσε ότι υπάρχουν αποδείξεις εκμετάλλευσης της ευπάθειας σε εξελιγμένες επιθέσεις στον πραγματικό κόσμο εναντίον στόχων υψηλής αξίας. Τα πληγείσα πλατφόρμες περιλαμβάνουν iOS 18.6.2, iPadOS 18.6.2 και 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 και Ventura 13.7.8. Η εταιρεία βελτίωσε τον έλεγχο των ορίων στη βιβλιοθήκη Image I/O για να διορθώσει ελλείψεις στη διαχείριση μνήμης που επέτρεπαν εγγραφές εκτός πεδίου.
Οι ειδικοί ασφαλείας προειδοποιούν ότι η φύση μηδενικού κλικ του εκμετάλλευσης εξαλείφει τους τυπικούς μηχανισμούς ενεργοποίησης από τον χρήστη, όπως το άνοιγμα ενός εγγράφου ή το κλικ σε έναν σύνδεσμο. Αντίθετα, κακόβουλοι παράγοντες μπορούν να ενσωματώσουν κακόβουλα δεδομένα στα μεταδεδομένα εικόνων που διανέμονται μέσω πλατφορμών ανταλλαγής μηνυμάτων όπως το iMessage. Με την παραλαβή, οι αυτόματες ρουτίνες απόδοσης εικόνας της συσκευής θα επεξεργάζονταν τα κακόβουλα δεδομένα, οδηγώντας σε παραβίαση της συσκευής και πιθανή κλοπή ευαίσθητων πληροφοριών — συμπεριλαμβανομένων των διαπιστευτηρίων πορτοφολιού κρυπτονομισμάτων, φράσεων ανάκτησης και διακριτικών αυθεντικοποίησης ανταλλαγής.
Ο Juliano Rizzo, ιδρυτής της εταιρείας κυβερνοασφάλειας Coinspect, τόνισε τον αυξημένο κίνδυνο για τους χρήστες ψηφιακών περιουσιακών στοιχείων. Συνιστά στους στόχους υψηλής αξίας να αλλάζουν αμέσως ιδιωτικά κλειδιά και να μεταφέρουν τα περιουσιακά τους στοιχεία σε υλικό πορτοφόλι. Για τους γενικούς χρήστες, η Apple πρότεινε την άμεση εγκατάσταση των ενημερώσεων ασφαλείας και την επαλήθευση των εγκατεστημένων εκδόσεων λογισμικού, προειδοποιώντας ότι η καθυστέρηση της ενημέρωσης θα μπορούσε να αφήσει τις συσκευές ευάλωτες σε περαιτέρω επιθέσεις.
Ο πάροχος ανάλυσης blockchain CertiK ανέφερε ότι παρόμοιες ευπάθειες μηδενικού κλικ έχουν αξιοποιηθεί από απειλητικούς παράγοντες κρατών-εθνών σε προηγούμενες εκστρατείες. Το νέο σφάλμα της Apple υπογραμμίζει την ανάγκη για συνεχή έρευνα ευπαθειών και προληπτικές πρακτικές αποκάλυψης. Αποτελεί την έκτη ευπάθεια μηδενικής ημέρας που αντιμετωπίστηκε από την Apple το 2025, σημειώνοντας ρεκόρ σε ρυθμό που αντανακλά τις αυξανόμενες ικανότητες των αντιπάλων στο φυσικό περιβάλλον.
Οι οργανισμοί που διαχειρίζονται επιχειρήσεις μεγάλης κλίμακας κρυπτονομισμάτων καλούνται να πραγματοποιούν λεπτομερείς ελέγχους συσκευών, να επιβάλλουν αυστηρές πολιτικές ενημέρωσης και να εξετάζουν λύσεις άμυνας κατά κινητών απειλών που μπορούν να εντοπίσουν ανώμαλες συμπεριφορές που υποδεικνύουν εκμεταλλεύσεις μηδενικού κλικ. Οι προγραμματιστές λογισμικού στο οικοσύστημα κρυπτονομισμάτων επίσης συνιστώνται να απομονώνουν τις διαδικασίες πορτοφολιού και να ελαχιστοποιούν τις επιφάνειες επίθεσης αποσυνδέοντας κρίσιμες λειτουργίες υπογραφής από γενικό σκοπό κώδικα εφαρμογών.
Με την κυκλοφορία της ενημέρωσης πλέον σε ισχύ, η Apple επανέλαβε τη δέσμευσή της για γρήγορη αντιμετώπιση ευπαθειών και συνεργασία με την κοινότητα έρευνας ασφάλειας. Οι χρήστες καλούνται να απευθυνθούν στα κανάλια υποστήριξης της Apple για οδηγίες ενημέρωσης και περαιτέρω καθοδήγηση για την ασφάλεια συσκευών και ψηφιακών περιουσιακών στοιχείων στο εξελισσόμενο τοπίο απειλών.
Σχόλια (0)