2025 жылғы 25 тамызда Apple Image I/O фреймворкісіндегі маңызды zero-click осалдықты (CVE-2025-43300) жою үшін шұғыл қауіпсіздік жаңартуын шығарды. Бұл осалдық арнайы дайындалған кескін файлдарының өңделуіне мүмкіндік беріп, пайдаланушы әрекетінсіз жадыдан тыс жазбалар мен ерікті код орындалуына себеп болуы мүмкін. Zero-click деп саналатын осындай шабуыл түрі, криптовалюта иелері үшін әсіресе қауіпті, себебі ол әмиян қосымшаларын бұзып, құрылғыда сақталған жеке кілттерге қол жеткізуге мүмкіндік береді.
Apple кеңесінде осалдықтың күрделі нақты шабуылдарда жоғары құнды нысандарға қарсы пайдаланылғанын растайтын дәлелдер бар екені айтылды. Зардап шеккен платформаларға iOS 18.6.2, iPadOS 18.6.2 және 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 және Ventura 13.7.8 кіреді. Компания жадыны өңдеудегі кемшіліктерді түзету үшін Image I/O кітапханасындағы шекара тексеруін күшейтті.
Қауіпсіздік сарапшылары zero-click табиғаты пайдаланушының құжат ашуы немесе сілтемеге басуы сияқты әдеттегі триггерлерді қажет етпейтінін ескертеді. Оның орнына зиянды актерлер метадеректерге енгізілген зиянды кодтарды iMessage сияқты хабарласу платформалары арқылы таратуы мүмкін. Құрылғы осындай кескіндерді автоматты түрде өңдегенде, деректерді бұзып, құпия ақпаратты – оның ішінде криптовалюта әмиянының куәліктері, қалпына келтіру сөздері және биржа аутентификациясы токендерін ұрлауы ықтимал.
Киберқауіпсіздік фирмасы Coinspect негізін қалаушы Джулиано Риццо цифрлық актив иелеріне жоғары тәуекел туралы ескертті. Ол жоғары құнды нысандарға жеке кілттерді дереу ауыстыруды және активтерді аппараттық әмияндарға көшіруді ұсынды. Жалпы пайдаланушыларға Apple қауіпсіздік жаңартуларын жедел орнатуды және бағдарламалық жасақтаманың нұсқаларын тексеруді кеңесті, патчты кешіктіру құрылғыларды қосымша шабуылдарға осал етуі мүмкін деп ескертті.
Блокчейн талдау компаниясы CertiK ұқсас zero-click осалдықтардың алдыңғы кампанияларда мемлекет қолдауындағы қауіпті актерлер тарапынан пайдаланылғанын атап өтті. Apple-дің жаңа осалдығы үзіліссіз осалдықтарды зерттеу және алдын ала хабарлау тәжірибесінің қажеттілігін көрсетті. Бұл 2025 жылы Apple шешкен алтыншы zero-day болып табылады және өркендеп отырған дұшпандардың қабілеттерінің артуын көрсетеді.
Үлкен көлемдегі криптовалюта операцияларын жүргізетін ұйымдарға құрылғыларды толық аудиттен өткізуге, қатал жаңарту саясатын қолдауға және zero-click шабуылдарды анықтай алатын мобильді қауіп-қатерден қорғану шешімдерін қарастыруға кеңес беріледі. Крипто экожүйесіндегі бағдарламашыларға әмиян процестерін оқшаулау және маңызды қол қою операцияларын жалпы қосымша кодынан бөлу арқылы шабуыл беткейлерін азайту ұсынылады.
Патчтың ендігі уақытта қолжетімді болғанын Apple растады және осалдықтарды жылдам жоюға, қауіпсіздік зерттеушілер қауымдастығымен ынтымақтастыққа деген ұстанымын бекітті. Қолданушыларға жаңартуларды орнату және құрылғылар мен цифрлық активтерді жаңа қауіп-қатер жағдайында қорғау бойынша нұсқаулар алу үшін Apple қолдау арналарына жүгіну ұсынылады.
Пікірлер (0)