25. augustil 2025 andis Apple välja kiire turvapaiga, et leevendada kriitilist null-klõpsu haavatavust (CVE-2025-43300) oma Image I/O raamistikus. Viga võimaldas töödeldud pildifailide kasutamist, mis võisid käivitada mälupiirkonna piiridest väljas kirjutamisi ja juhusliku koodi täitmist ilma kasutaja sekkumiseta. Selle tüüpi ekspluateerimine, mida sageli nimetatakse null-klõpsuks, on eriti ohtlik krüptorahahoidjatele, kuna seda saab kasutada rahakorra rakenduste kompromiteerimiseks ja seadmes hoitavate privaatvõtmete ligipääsuks.
Apple’i juhend märkis, et on olemas tõendeid haavatavuse kasutamise kohta keerukates reaalse maailma rünnakutes kõrge väärtusega sihtmärkide vastu. Mõjutatud platvormideks on iOS 18.6.2, iPadOS 18.6.2 ja 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 ja Ventura 13.7.8. Ettevõte parandas Image I/O teegi piirikontrolli, et likvideerida mäluhalduse puudujäägid, mis võimaldasid väljaspool lubatud piire kirjutamist.
Turvaspetsialistid hoiatasid, et ekspluateerimise null-klõpsu olemus välistab tüüpilised kasutajapõhised päästikud, nagu dokumendi avamine või lingile klõpsamine. Selle asemel saavad pahatahtlikud isikud lisada kahjulikke koode pildi metaandmetesse, mis levitatakse sõnumiplatvormidel nagu iMessage. Vastuvõtmisel töötleb seadme automaatne pildi renderdamise protsess kahjulikku infot, põhjustades seadme kompromiteerimist ning tundlike andmete, sealhulgas krüptorahakottide mandaadi, taastusefraaside ja vahetus autentimistokenite vargust.
Krüptoturvalisuse ettevõtte Coinspect asutaja Juliano Rizzo rõhutas digitaalsete varade kasutajate kõrgenenud riski. Ta soovitas kõrge väärtusega sihtmärkidel kohe vahetada privaatvõtmeid ja üle viia hallatavad varad riistvaralistesse rahakottidesse. Üldkasutajatele soovitas Apple turvauuendused viivitamatult paigaldada ning kontrollida installitud tarkvaraversioone, hoiatades, et plaastri edasilükkamine võib jätta seadmed edasiste rünnakute ohvriks.
Blokiahela analüütikafirma CertiK tõi välja, et sarnaseid null-klõpsu haavatavusi on varem riikliku tasandi ohtlikud ründajad oma kampaaniates kasutanud. Uus Apple’i viga rõhutab pideva haavatavuste uurimise ja proaktiivse avalikustamise olulisust. See on kuues Apple’i poolt 2025. aastal lahendatud null-päeva haavatavus, mis näitab vastaste kasvavat võimekust looduses.
Suuri krüptorahatehinguid haldavad organisatsioonid kutsutakse üles läbi viima põhjalikke seadmete auditeid, rakendama ranget uuenduspoliitikat ning kaaluma mobiilse ohuvastaseid lahendusi, mis suudavad tuvastada anomaalseid käitumismustreid, mis viitavad null-klõpsu ekspluateerimisele. Krüptomaailma tarkvaraarendajatele soovitatakse eraldada rahakottide protsessid ja vähendada ründepindu, lahutades olulised allkirjastamistoimingud üldistest rakenduskoodidest.
Plaastri juurutamisega kinnitas Apple oma pühendumust haavatavuste kiirele kõrvaldamisele ja koostööle turvauurijatega. Kasutajatele suunatakse Apple’i tugikanalitesse, kust saavad nad juhiseid uuenduste tegemiseks ja lisateavet seadmete ning digitaalvarade turvamiseks muutuvas ohuteguris.
Kommentaarid (0)