2025. augusztus 25-én az Apple sürgős biztonsági frissítést adott ki egy kritikus zero-click sérülékenység (CVE-2025-43300) mérséklésére az Image I/O keretrendszerében. A hiba lehetővé tette a manipulált képállományok feldolgozását, amelyek határértékeken kívüli memóriaírást és tetszőleges kód végrehajtását idézhettek elő felhasználói beavatkozás nélkül. Az ilyen típusú kihasználás, amelyet gyakran zero-clicknek neveznek, különösen veszélyes a kriptovaluták tulajdonosai számára, mivel felhasználható pénztárcaalkalmazások feltörésére és a készüléken tárolt privát kulcsok elérésére.
Az Apple figyelmeztetése szerint bizonyítékok vannak arra, hogy a sérülékenységet kifinomult, valós támadások során használták értékes célpontok ellen. Az érintett platformok közé tartozik az iOS 18.6.2, iPadOS 18.6.2 és 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 és Ventura 13.7.8. A cég javította a határérték-ellenőrzést az Image I/O könyvtárban, hogy kijavítsa azokat a memória kezelési hiányosságokat, amelyek lehetővé tették a hatáskörön túli írásokat.
A biztonsági szakértők figyelmeztetnek, hogy a zero-click kihasználás jellege kizárja a tipikus felhasználói indító eseményeket, például egy dokumentum megnyitását vagy egy linkre kattintást. Ehelyett rosszindulatú szereplők beágyazhatják a káros kódot kép metaadataiba, amelyeket üzenetküldő platformokon, például iMessage-en keresztül terjesztenek. A készülék automatikus képmegjelenítő rutinjai az átvételkor feldolgozzák a rosszindulatú adatokat, ami a készülék kompromittálásához és érzékeny információk—beleértve a kriptovaluta pénztárca hitelesítő adatokat, helyreállítási kifejezéseket és tőzsdei hitelesítő tokeneket—lopásához vezethet.
Juliano Rizzo, a Coinspect kiberbiztonsági cég alapítója hangsúlyozta a digitális eszközhasználókra leselkedő fokozott kockázatot. Azt tanácsolta, hogy a magas értékű célpontok azonnal cseréljék le privát kulcsaikat, és helyezzék át eszközeiket hardveres pénztárcákba. Általános felhasználók számára az Apple azonnali biztonsági frissítések telepítését és a telepített szoftververziók ellenőrzését javasolta, figyelmeztetve, hogy a javítás késleltetése további támadásoknak teheti ki az eszközöket.
A blockchain elemző szolgáltató CertiK kiemelte, hogy hasonló zero-click sérülékenységeket korábban állami szintű fenyegető szereplők használtak kampányaikban. Az új Apple hiba hangsúlyozza a folyamatos sérülékenység-kutatás és a proaktív bejelentési gyakorlatok szükségességét. Ez az Apple hatodik zero-day hibája 2025-ben, ami rekord ütemet jelent, tükrözve a növekvő ellenfél képességeket a valós környezetben.
A nagy volumenű kriptovaluta műveleteket kezelő szervezeteket arra kérik, hogy alapos eszközfelmérést végezzenek, szigorú frissítési politikát alkalmazzanak, és fontolják meg mobil fenyegetés-elhárító megoldások alkalmazását, amelyek képesek felismerni a zero-click kihasználásra utaló szokatlan viselkedéseket. A kripto ökoszisztéma szoftverfejlesztőinek szintén ajánlott a pénztárca folyamatok izolálása és a támadási felületek minimalizálása azáltal, hogy a kritikus aláírási műveleteket elválasztják az általános célú alkalmazáskódtól.
A javítás bevezetésével az Apple megerősítette elkötelezettségét a gyors sérülékenység-kezelés és a biztonsági kutató közösséggel való együttműködés iránt. A felhasználókat az Apple támogatási csatornáihoz irányítják a frissítési útmutatókért és további javaslatokért az eszközök és digitális eszközök biztonságban tartásához a folyamatosan változó fenyegetési környezetben.
Hozzászólások (0)