Pada tanggal 25 Agustus 2025, Apple mengeluarkan pembaruan keamanan mendesak untuk mengatasi kerentanan zero-click kritis (CVE-2025-43300) dalam kerangka kerja Image I/O-nya. Kerentanan ini memungkinkan pemrosesan file gambar yang dibuat khusus yang dapat memicu penulisan memori di luar batas dan eksekusi kode arbitrer tanpa memerlukan interaksi pengguna. Jenis eksploitasi ini, yang sering diklasifikasikan sebagai zero-click, sangat berbahaya bagi pemegang cryptocurrency, karena dapat digunakan untuk mengkompromikan aplikasi dompet dan mengakses kunci pribadi yang disimpan di perangkat.
Pemberitahuan dari Apple menyebutkan bahwa terdapat bukti kerentanan ini telah dieksploitasi dalam serangan dunia nyata yang canggih terhadap target bernilai tinggi. Platform yang terdampak meliputi iOS 18.6.2, iPadOS 18.6.2 dan 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8, dan Ventura 13.7.8. Perusahaan meningkatkan pemeriksaan batas pada perpustakaan Image I/O untuk memperbaiki kekurangan dalam penanganan memori yang memungkinkan penulisan di luar cakupan.
Para ahli keamanan memperingatkan bahwa sifat zero-click dari eksploitasi ini menghilangkan pemicu yang biasanya dipicu oleh pengguna, seperti membuka dokumen atau mengklik tautan. Sebaliknya, aktor jahat dapat menyisipkan payload dalam metadata gambar yang didistribusikan melalui platform pesan seperti iMessage. Setelah diterima, rutinitas pemrosesan gambar otomatis perangkat akan memproses data berbahaya tersebut, yang menyebabkan kompromi perangkat dan potensi pencurian informasi sensitif—termasuk kredensial dompet cryptocurrency, frase pemulihan, dan token autentikasi pertukaran.
Juliano Rizzo, pendiri perusahaan keamanan siber Coinspect, menekankan risiko yang meningkat bagi pengguna aset digital. Dia menyarankan agar target bernilai tinggi segera mengganti kunci pribadi dan memindahkan kepemilikan ke dompet perangkat keras. Untuk pengguna umum, Apple merekomendasikan pemasangan pembaruan keamanan secara cepat dan verifikasi versi perangkat lunak yang terpasang, memperingatkan bahwa menunda patch dapat membuat perangkat rentan terhadap serangan lebih lanjut.
Penyedia analitik blockchain CertiK menyoroti bahwa kerentanan zero-click serupa telah digunakan oleh aktor ancaman negara dalam kampanye sebelumnya. Kerentanan baru Apple ini menegaskan perlunya penelitian kerentanan yang berkelanjutan dan praktik pengungkapan proaktif. Ini menandai zero-day keenam yang ditangani Apple pada tahun 2025, sebuah rekor yang mencerminkan kemampuan lawan yang semakin meningkat di lapangan.
Organisasi yang menangani operasi cryptocurrency skala besar didesak untuk melakukan audit perangkat secara menyeluruh, menerapkan kebijakan pembaruan ketat, dan mempertimbangkan solusi pertahanan ancaman seluler yang dapat mendeteksi perilaku anomali yang mengindikasikan eksploitasi zero-click. Pengembang perangkat lunak di ekosistem crypto juga disarankan untuk mengisolasi proses dompet dan meminimalkan permukaan serangan dengan memisahkan operasi penandatanganan krusial dari kode aplikasi umum.
Dengan rollout patch yang kini telah aktif, Apple menegaskan kembali komitmennya untuk mitigasi kerentanan cepat dan kolaborasi dengan komunitas riset keamanan. Pengguna diarahkan ke saluran dukungan Apple untuk instruksi pembaruan dan panduan lebih lanjut tentang mengamankan perangkat dan aset digital dalam lanskap ancaman yang terus berkembang.
Komentar (0)