25. augustil 2025 väljastas Apple kiire turvauuenduse, et leevendada kriitilist nullkliki haavatavust (CVE-2025-43300) oma Image I/O raamistikus. Viga võimaldas töötlemist spetsiaalselt loodud pildifailidega, mis võisid põhjustada mälu lubatud piiridest väljumist ja suvalist koodi täitmist ilma kasutaja sekkumiseta. Seda tüüpi haavatavus, mida sageli nimetatakse nullklikiks, on eriti ohtlik krüptovaluuta omanikele, kuna seda saab kasutada rahakottide rakenduste kompromiteerimiseks ja privaatvõtmete juurde pääsemiseks, mis on seadmes salvestatud.
Apple’i teavitusest selgus, et haavatavust on keerukates reaalmaailma rünnakutes kasutatud väärtuslike sihtmärkide vastu. Mõjutatud platvormide hulka kuuluvad iOS 18.6.2, iPadOS 18.6.2 ja 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 ja Ventura 13.7.8. Ettevõte täiustas Image I/O teegi piiride kontrolli, et parandada mälukäsitluse puudujääke, mis lubasid piiridest väljaspool mälu kirjutamist.
Turvaeksperdid hoiatasid, et nullkliki olemus kõrvaldab tüüpilised kasutajapõhised käivitajad, nagu dokumendi avamine või lingile klikkimine. Selle asemel võivad pahatahtlikud osapooled manustada kahjulikke koode pildimetadatele sõnumiplatvormide, nagu iMessage, kaudu levitatavates piltides. Seadme automaatsed pilditöötlusrutiinid töötlevad sellist kahjulikku sisu koheselt, mis võib viia seadme kompromisseerumiseni ja tundlike andmete, sealhulgas krüptorahakotti andmete, taastamisfraaside ja vahetusautentimise tokenite varguseni.
Kyberturvalisuse ettevõtte Coinspect asutaja Juliano Rizzo rõhutas digitaalse vara kasutajatele suurenenud riski. Ta soovitas kõrge väärtusega sihtmärkidel kohe privaatsed võtmed ringi teha ja varad üle kanda riistvaralistele rahakottidele. Üldkasutajatele soovitas Apple turvauuendused kiiresti paigaldada ning kontrollida tarkvara versioone, hoiatades, et uuenduse edasi lükkamine võib jätta seadmed täiendavate rünnakute ohtu.
Plokiahela analüütikafirma CertiK tõi välja, et sarnaseid nullkliki haavatavusi on varasemalt kasutanud riigilõksuga ohutegijad eelnevates kampaaniates. Uus Apple’i viga rõhutab pideva haavatavusuuringu ja proaktiivse teatamise vajadust. See on kuues nullpäeva haavatavus, mille Apple aastal 2025 lahendas, rekordiline tempo, mis peegeldab kasvavaid vastase võimeid reaalajas keskkonnas.
Suuremahulisi krüptovara operatsioone haldavatele organisatsioonidele soovitatakse läbi viia põhjalikke seadme auditeid, rakendada rangeid uuenduspoliitikaid ja kaaluda mobiilse ohu kaitse lahendusi, mis suudavad tuvastada ebanormaalseid käitumisi, mis viitavad nullkliki ärakasutustele. Krüptorakenduste tarkvaraarendajatele soovitatakse eraldada rahakoti protsessid ning vähendada rünnakupindu, eraldades kriitilised allkirjastamistoimingud üldistest rakenduse koodidest.
Uuenduse juurutamisega kinnitas Apple taas oma pühendumust haavatavuste kiirele likvideerimisele ja koostööle turvauurijatega. Kasutajatele suunati juhised Apple’i tugikanalites, et sooritada uuendused ning saada edasist juhendamist seadmete ja digitaalvarade kaitseks muutuvas ohumaastikus.
Kommentaarid (0)