2025 жылы 25 тамызда Apple өзінің Image I/O құрылымындағы маңызды zero-click осалдықты (CVE-2025-43300) жою үшін шұғыл қауіпсіздік жаңартуын шығарды. Бұл осалдық арнайы жасалған сурет файлдарын өңдеуге мүмкіндік берді, ол пайдаланушының араласуынсыз жадтан тыс жазуларды және ерікті код орындалуын қоздыра алады. Мұндай түрдегі шабуылдар, zero-click ретінде жиі жіктеледі, криптовалюта ұстаушылар үшін аса қауіпті, себебі ол әмиян бағдарламаларын бұзып, құрылғыда сақталған жеке кілттерге қол жеткізуге мүмкіндік береді.
Apple хабарламасында бұл осалдықтың жоғары мәнді нысандарға бағытталған күрделі нақты шабуылдарда пайдаланылғандығы туралы дәлелдер бар екені айтылды. Зардап шеккен платформаларға iOS 18.6.2, iPadOS 18.6.2 және 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 және Ventura 13.7.8 кірді. Компания Image I/O кітапханасындағы жадты өңдеу кемшіліктерін түзету үшін шектік тексеруді күшейтті, бұл шектен тыс жазуларға жол бермейді.
Қауіпсіздік сарапшылары бұл zero-click шабуылының пайдаланушының кәдімгі әрекеттерін, мысалы құжат ашу немесе сілтемеге басуды, қажет етпейтінін ескертеді. Оның орнына зиянкестер iMessage сияқты хабарлама платформалары арқылы таралатын сурет метадеректеріне зиянды код енгізе алады. Қабылданған кезде құрылғының автоматты сурет өңдеу үрдістері зиянды деректерді өңдеп, құрылғының бұзылуына және криптовалюта әмиянының тіркелгі деректері, қалпына келтіру сөздері мен биржа аутентификация токендері сияқты сезімтал ақпараттың ұрлануына әкеледі.
Киберқауіпсіздік фирмасы Coinspect негізін қалаушы Джулиано Риццо цифрлық актив қолданушыларына жоғары қауіптің бар екенін атап өтті. Ол жоғары мәнді нысандарға жеке кілттерді дереу ауыстыруды және активтерді аппараттық әмияндарға көшіруді ұсынды. Жалпы пайдаланушылар үшін Apple қауіпсіздік жаңартуларын жедел орнатуды және орнатылған бағдарламалық жасақтаманың нұсқаларын тексеруді ұсынды, жаңартуды кейінге қалдыру құрылғыларды қосымша шабуылдарға ашық қалдыруы мүмкін деп ескертті.
Блокчейн аналитика провайдері CertiK ұқсас zero-click осалдықтардың бұрынғы науқандарда мемлекет қолындағы қатерлер тарапынан пайдаланылғанын айтты. Apple-дің жаңа осалдығы осалдықтарды үздіксіз зерттеу мен уақтылы жариялау қажеттігін көрсетеді. Ол 2025 жылы Apple түзеткен алтыншы zero-day осалдық болып табылады, бұл өршіп келе жатқан қарсыластың мүмкіндіктерін көрсететін рекордтық көрсеткіш.
Үлкен криптовалюта операцияларын жүргізетін ұйымдарға құрылғыларды мұқият тексеруді, қатаң жаңарту саясаттарын орындауды және zero-click шабуылдарын көрсететін аномалиялық әрекеттерді анықтай алатын мобильді қатерлерден қорғау шешімдерін қарастыруды ұсынады. Крипто экожүйесіндегі бағдарламашыларға әмиян процестерін оқшаулап, маңызды қол қою операцияларын жалпы мақсаттағы қосымша кодтан бөлу арқылы шабуыл беттерін азайтуды ұсынамыз.
Жаңарту енді қолжетімді болып, Apple осалдықтарды тез жоюға және қауіпсіздік зерттеу қауымдастығымен ынтымақтастыққа берілгендік көрсеткен. Пайдаланушыларға жаңартуларды орнату бойынша нұсқаулар және дамып келе жатқан қатерлер жағдайында құрылғылар мен цифрлық активтерді қорғау жөнінде қосымша кеңестер алу үшін Apple қолдау арналарына жүгінуге кеңес беріледі.
Пікірлер (0)