25. ágúst 2025 gaf Apple út brýnt öryggisuppfærslu til að draga úr alvarlegri vulnerability án notendaskipta (CVE-2025-43300) í Image I/O ramma sínum. Gallinn gerði meðhöndlun sérhannaðra myndaskráa mögulega sem gæti valdið minnisyllibrotum og tilviljanakenndri keyrslu kóða án þess að notandi þurfi aðgerðir. Þessi tegund nýtingar, oft flokkuð sem zero-click, er sérstaklega hættuleg fyrir eigendur rafmyntar þar sem hún getur brotið inn í veski hugbúnað og fengið aðgang að einkalyklum sem geymdir eru á tækinu.
Viðvörun Apple bar fram vísbendingar um að vulnerability hefði verið nýtt í flóknum raunar árásum á verðmæt markmið. Áhrifuð kerfi eru meðal annars iOS 18.6.2, iPadOS 18.6.2 og 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 og Ventura 13.7.8. Fyrirtækið bætti viðfangsefni við að kanna takmörk í Image I/O bókasafninu til að laga minnisstjórnunargalla sem leiddu til minnisbrota utan marka.
Öryggissérfræðingar vara við að eðli zero-click nýtingarinnar útiloki hefðbundna notendahluti eins og að opna skjal eða smella á hlekk. Í staðinn geta illviljaðir aðilar falið farangur innan mynda-gagnasviðs sem er dreift með skilaboðaforritum eins og iMessage. Þegar það berst, vinna sjálfvirkar myndavinnsluréttir tækisins úr illgjarnum gögnum sem leiðir til tækisbrots og mögulegrar stuldar á viðkvæmum upplýsingum - þar á meðal innskráningarupplýsingum fyrir rafmyntaveski, endurheimtulyklum og staðfestingartáknum skiptimarkaða.
Juliano Rizzo, stofnandi tölvuöryggisfyrirtækisins Coinspect, lagði áherslu á aukinn áhættu fyrir notendur stafræna eigna. Hann ráðlagði að verðmæt markmið eins og eigendur snögglega endurnýjuðu einkalykla og fluttu eignir yfir á harðveski. Fyrir almenna notendur mældi Apple með tafarlausri uppsetningu öryggisuppfærslna og staðfestingu á uppsettum hugbúnaðarútgáfum og varaði við að seinkun gæti gert tæki viðkvæm fyrir frekari árásum.
Blokkkeðjugreiningarfyrirtækið CertiK benti á að svipaðar zero-click veikleikar hefðu verið nýttir af ríki-stuðlaðra hópa í fyrri herferðum. Nýja galla Apple undirstrikar þörfina á stöðugri veikleikagreiningu og virkri uppljóstrun. Þetta er sjötta zero-day gatið sem Apple hefur lagað árið 2025, met sem endurspeglar vaxandi hæfni andstæðinga í umhverfinu.
Fyrirtæki með umfangsmikla rafmynta starfsemi eru hvött til að framkvæma nákvæmar tækaúttektir, innleiða strangar uppfærslustefnur og íhuga lausnir til að verja farsíma gegn ógnum sem greina óvenjuleg mynstur sem benda til zero-click nýtinga. Hugbúnaðarsmiðir í stafræna gjaldmiðli umhverfinu eru einnig ráðlagðir að einangra veskjaferla og minnka árásarflöt með því að skipta viðkvæmum undirskriftaraðgerðum frá almenna forritakóða.
Með því að uppfærslan er nú komin út staðfesti Apple skuldbindingu sína til hraðrar viðbragðs við veikleikum og samstarfs við öryggisrannsakendur. Notendur geta leitað til stuðningsrása Apple fyrir leiðbeiningar um uppfærslur og frekari ráðgjöf við að verja tæki og stafrænar eignir í síbreytilegu ógnarumhverfi.
Athugasemdir (0)