Pada 25 Agustus 2025, Apple mengeluarkan pembaruan keamanan mendesak untuk mengatasi kerentanan zero-click kritis (CVE-2025-43300) dalam kerangka kerja Image I/O-nya. Kerentanan ini memungkinkan pemrosesan berkas gambar yang dimodifikasi yang dapat memicu tulisan memori di luar batas dan eksekusi kode sewenang-wenang tanpa memerlukan interaksi pengguna. Jenis eksploitasi ini, yang sering diklasifikasikan sebagai zero-click, sangat berbahaya bagi pemilik cryptocurrency, karena dapat digunakan untuk mengompromikan aplikasi dompet dan mengakses kunci privat yang disimpan di perangkat.
Pemberitahuan Apple menyebutkan bahwa ada bukti kerentanan ini telah dieksploitasi dalam serangan dunia nyata yang canggih terhadap target bernilai tinggi. Platform yang terdampak termasuk iOS 18.6.2, iPadOS 18.6.2 dan 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 dan Ventura 13.7.8. Perusahaan meningkatkan pemeriksaan batas dalam pustaka Image I/O untuk memperbaiki kelemahan penanganan memori yang memungkinkan penulisan di luar cakupan.
Para ahli keamanan memperingatkan bahwa sifat zero-click dari eksploitasi ini menghilangkan pemicu berbasis pengguna yang biasa, seperti membuka dokumen atau mengklik tautan. Sebaliknya, pelaku jahat dapat menyisipkan payload dalam metadata gambar yang didistribusikan melalui platform pesan seperti iMessage. Setelah diterima, rutinitas render gambar otomatis perangkat akan memproses data berbahaya tersebut, yang mengakibatkan kompromi perangkat dan potensi pencurian informasi sensitif—termasuk kredensial dompet cryptocurrency, frasa pemulihan, dan token otentikasi pertukaran.
Juliano Rizzo, pendiri perusahaan keamanan siber Coinspect, menekankan risiko tinggi bagi pengguna aset digital. Dia menyarankan agar target bernilai tinggi segera memutar kunci privat dan memindahkan kepemilikan ke dompet perangkat keras. Untuk pengguna umum, Apple merekomendasikan instalasi cepat pembaruan keamanan dan verifikasi versi perangkat lunak yang terpasang, memperingatkan bahwa menunda patch dapat menyebabkan perangkat rentan terhadap serangan lebih lanjut.
Penyedia analitik blockchain CertiK menyoroti bahwa kerentanan zero-click serupa telah dimanfaatkan oleh aktor ancaman negara dalam kampanye sebelumnya. Kerentanan baru Apple ini menegaskan pentingnya riset kerentanan berkelanjutan dan praktik pengungkapan proaktif. Ini menandai zero-day keenam yang ditangani Apple pada 2025, sebuah rekor kecepatan yang mencerminkan peningkatan kemampuan lawan di lapangan.
Organisasi yang menangani operasi cryptocurrency skala besar didesak untuk melakukan audit perangkat menyeluruh, menerapkan kebijakan pembaruan ketat, dan mempertimbangkan solusi pertahanan ancaman seluler yang dapat mendeteksi perilaku anomali yang menunjukkan eksploitasi zero-click. Pengembang perangkat lunak di ekosistem kripto juga disarankan untuk mengisolasi proses dompet dan meminimalkan permukaan serang dengan memisahkan operasi penandatanganan kritis dari kode aplikasi tujuan umum.
Dengan peluncuran patch yang kini telah tersedia, Apple menegaskan kembali komitmennya terhadap mitigasi kerentanan yang cepat dan kolaborasi dengan komunitas riset keamanan. Pengguna diarahkan ke saluran dukungan Apple untuk instruksi pembaruan dan panduan lebih lanjut dalam mengamankan perangkat serta aset digital di tengah lanskap ancaman yang terus berkembang.
Komentar (0)