Il 25 agosto 2025, Apple ha rilasciato un aggiornamento di sicurezza urgente per mitigare una vulnerabilità critica zero-click (CVE-2025-43300) all'interno del suo framework Image I/O. La falla consentiva l'elaborazione di file immagine appositamente creati che potevano causare scritture di memoria fuori dai limiti e l'esecuzione arbitraria di codice senza richiedere l'interazione dell'utente. Questo tipo di exploit, spesso classificato come zero-click, è particolarmente pericoloso per i possessori di criptovalute, in quanto può essere utilizzato per compromettere le applicazioni wallet e accedere alle chiavi private memorizzate su un dispositivo.
Il bollettino di Apple ha evidenziato l'esistenza di prove dell'utilizzo della vulnerabilitĂ in attacchi sofisticati nel mondo reale contro obiettivi ad alto valore. Le piattaforme interessate includono iOS 18.6.2, iPadOS 18.6.2 e 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. L'azienda ha migliorato il controllo dei limiti nella libreria Image I/O per correggere le carenze nella gestione della memoria che permettevano scritture fuori ambito.
Gli esperti di sicurezza avvertono che la natura zero-click dell'exploit elimina i trigger tipici guidati dall'utente, come l'apertura di un documento o il clic su un link. Al contrario, gli attori malevoli possono inserire payload nei metadata delle immagini distribuite tramite piattaforme di messaggistica come iMessage. Al ricevimento, le routine di rendering automatico delle immagini del dispositivo elaborano i dati malevoli, causando la compromissione del dispositivo e il potenziale furto di informazioni sensibili, inclusi le credenziali del wallet di criptovalute, le frasi di recupero e i token di autenticazione degli exchange.
Juliano Rizzo, fondatore della societĂ di cybersecurity Coinspect, ha sottolineato il rischio elevato per gli utenti di asset digitali. Ha consigliato ai target ad alto valore di ruotare immediatamente le chiavi private e migrare i fondi su wallet hardware. Per gli utenti generici, Apple ha raccomandato l'installazione tempestiva degli aggiornamenti di sicurezza e la verifica delle versioni software installate, avvertendo che ritardare la patch potrebbe lasciare i dispositivi esposti a ulteriori attacchi.
Il fornitore di analisi blockchain CertiK ha evidenziato che vulnerabilitĂ zero-click simili sono state sfruttate in precedenti campagne da attori statali. La nuova falla di Apple sottolinea la necessitĂ di una ricerca continua sulle vulnerabilitĂ e di pratiche proattive di divulgazione. Si tratta del sesto zero-day affrontato da Apple nel 2025, un ritmo record che riflette le crescenti capacitĂ avversarie nel mondo reale.
Le organizzazioni che gestiscono operazioni di criptovalute su larga scala sono invitate a effettuare audit approfonditi dei dispositivi, applicare rigorose politiche di aggiornamento e considerare soluzioni di difesa mobile contro le minacce in grado di rilevare comportamenti anomali indicativi di exploit zero-click. Gli sviluppatori di software nell'ecosistema crypto sono altresì invitati a isolare i processi wallet e minimizzare le superfici di attacco separando le operazioni critiche di firma dal codice applicativo di uso generale.
Con il rilascio della patch ora attivo, Apple ha riaffermato il proprio impegno per la rapida mitigazione delle vulnerabilitĂ e la collaborazione con la comunitĂ di ricerca sulla sicurezza. Gli utenti sono indirizzati ai canali di supporto Apple per le istruzioni di aggiornamento e ulteriori indicazioni per proteggere dispositivi e asset digitali nel panorama minaccioso in evoluzione.
Commenti (0)