2025. augusztus 25-én az Apple sürgős biztonsági frissítést adott ki egy kritikus, zero-click sebezhetőség (CVE-2025-43300) enyhítésére az Image I/O keretrendszerében. A hibát kialakított képfájlok feldolgozása okozta, amely határon túli memóriaírásokat és tetszőleges kódvégrehajtást tett lehetővé felhasználói beavatkozás nélkül. Az ilyen típusú exploitokat, amelyeket gyakran zero-clicknek neveznek, különösen veszélyesnek tartják a kriptovaluta-tulajdonosok számára, mivel alkalmazhatók pénztárca alkalmazások feltörésére és az eszközön tárolt privát kulcsokhoz való hozzáférésre.
Az Apple tanácsadója megjegyezte, hogy bizonyítékok vannak arra, hogy a sebezhetőséget kifinomult, valós célpontok elleni támadásokban már kihasználták. Az érintett platformok közé tartozik az iOS 18.6.2, iPadOS 18.6.2 és 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 és Ventura 13.7.8. A cég javította az Image I/O könyvtár határellenőrzését, hogy helyrehozza a memória kezelésének hiányosságait, amelyek lehetővé tették a határon túli írásokat.
A biztonsági szakértők figyelmeztetnek, hogy az exploit zero-click jellege kizárja a megszokott felhasználói indító trigger eseményeket, mint például egy dokumentum megnyitása vagy egy hivatkozásra kattintás. Ehelyett rosszindulatú szereplők káros kódokat helyezhetnek el képek metaadataiban, amelyeket az iMessage-hez hasonló üzenetküldő platformokon terjesztenek. A fogadáskor az eszköz automatikus képfeldolgozó rutinjai feldolgozzák a káros adatokat, ami az eszköz kompromittálásához és érzékeny információk, többek között kriptovaluta pénztárca hitelesítő adatok, helyreállítási kifejezések és tőzsdei hitelesítési tokenek ellopásához vezethet.
Juliano Rizzo, a Coinspect kiberbiztonsági cég alapítója hangsúlyozta a digitális eszközhasználók fokozott kockázatát. Azt tanácsolta, hogy a magas értékű célpontok azonnal cseréljék le privát kulcsaikat és helyezzék át vagyonaikat hardveres pénztárcákba. Általános felhasználók számára az Apple a biztonsági frissítések mihamarabbi telepítését és a telepített szoftververziók ellenőrzését javasolta, figyelmeztetve, hogy a javítás késleltetése további támadásoknak teheti ki az eszközöket.
A blockchain elemző szolgáltató CertiK kiemelte, hogy hasonló zero-click sebezhetőségeket már állami támadócsoportok is kihasználtak korábbi kampányaik során. Az új Apple hiba hangsúlyozza a folyamatos sebezhetőségkutatás és proaktív nyilvánosságra hozatali gyakorlatok szükségességét. Ez az Apple által 2025-ben kezelendő hatodik zero-day, amely rekordtempót jelez az egyre növekvő ellenséges képességek között.
A nagy volumenű kriptovaluta-műveleteket kezelő szervezeteket arra kéri, hogy végezzenek alapos eszközellenőrzéseket, alkalmazzanak szigorú frissítési szabályzatokat és fontolják meg a mobilfenyegetés elleni megoldások bevezetését, amelyek képesek észlelni a zero-click exploitokra jellemző szokatlan viselkedéseket. A kripto ökoszisztéma szoftverfejlesztőinek is javasolt a pénztárca folyamatainak elkülönítése és a támadási felület minimalizálása azáltal, hogy a kritikus aláíró műveleteket elszigetelik a többcélú alkalmazáskódoktól.
A javítások mostantól elérhetők, az Apple megerősítette elkötelezettségét a sebezhetőségek gyors kezelésére és az együttműködésre a biztonsági kutatóközösséggel. A felhasználók az Apple támogatási csatornáihoz fordulhatnak a frissítési útmutatókért és további tanácsokért az eszközök és digitális eszközök védelmében a változó fenyegetettségi környezetben.
Hozzászólások (0)