Á 25. ágúst 2025 gaf Apple út brýnt öryggisuppfærslu til að bregðast við alvarlegri núll-ýta veikleika (CVE-2025-43300) í Image I/O ramma sínum. Gallinn gerði kleift að vinna úr sérhönnuðum myndaskrám sem gátu valdið minniútfærslum utan marka og keyrt handahófskenndan kóða án þess að notandi þyrfti að hafa samskipti. Þessi tegund nýtingar, oft flokkuð sem núll-ýta, er sérstaklega hættuleg fyrir eigendur rafmyntar þar sem hún getur verið notuð til að ógna veskaforritum og fá aðgang að einkalyklum geymdum á tæki.
Ráðlegging Apple benti á að vísbendingar væru um að veikleikinn hafi verið nýttur í flóknum raunverulegum árásum gegn háum verðmætum. Áhrifavaldar pallur eru iOS 18.6.2, iPadOS 18.6.2 og 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 og Ventura 13.7.8. Fyrirtækið bætti við markaathugun í Image I/O bókasafninu til að laga minni meðhöndlunarvillu sem leiddi til útfærslu utan marka.
Öryggissérfræðingar vara við að eðli nýtingarinnar, sem krefst enginna aðgerða notanda, fjarlægir venjulega viðbragðshreyfingar eins og að opna skjal eða smella á hlekk. Illgjarnir aðilar geta falið skaðlega kóða í myndagögnum sem dreift er í gegnum skilaboðapallana eins og iMessage. Við móttöku mun sjálfvirk myndvinnsla tækisins vinna úr skaðlegum gögnum, sem leiðir til fyrirtækja og mögulegs þjófnaðar á viðkvæmum upplýsingum – þar með taldar lykilorð veska, endurheimtarmál og auðkenningarmiða á skiptum.
Juliano Rizzo, stofnandi netöryggisfyrirtækisins Coinspect, undirstrikaði aukinn áhættu fyrir notendur stafræna eigna. Hann ráðlagði háverðmæta markhópa að snúa einkalyklum strax og færa eignir yfir á vélbúnaðarveski. Fyrir almenna notendur mælti Apple með því að setja fljótt upp öryggisuppfærslur og staðfesta útgáfu hugbúnaðar, með viðvörun um að tafarlaus viðgerðar seinkun gæti látið tæki vera viðkvæm fyrir frekari árásum.
Greiningarfyrirtækið CertiK á blokkkeðju tók fram að svipaðir núll-ýta veikleikar hafi verið notaðir af ríkisstaðahættuöflum í fyrri herferðum. Nýi gallinn hjá Apple undirstrikar þörfina fyrir stöðuga veikleikaleit og virkar tilkynningaraðferðir. Þetta er sjöunda núlldeigisvandamálið sem Apple lagar á þessu ári, met sem endurspeglar stækkandi hæfni óvina í raunheimum.
Fyrirtæki sem reka umfangsmiklar rafmyntarekstur eru hvött til að framkvæma ítarlegar tækitryggingar, leggja niður strangar uppfærslustefnur og íhuga farsímavarnarlausnir sem geta greint óvenjuleg hegðun sem bendir til núll-ýta nýtinga. Hugbúnaðarfyrirtæki í rafmyntarumhverfi eru einnig ráðlagt að einangra veskaferla og minnka árásarflöt með því að aðskilja mikilvægar undirskriftaraðgerðir frá almennum forritakóða.
Með því að uppfæra núna staðfestir Apple skuldbindingu sína til skjóttra viðbragða við veikleikum og samstarfs við öryggisrannskóknaraðila. Notendur eru beðnir að hafa samband við stuðningsrásir Apple fyrir leiðbeiningar um uppfærslur og frekari ráðgjöf varðandi öryggi tækja og stafræna eigna í síbreytilegu ógnarumhverfi.
Athugasemdir (0)