Pada 25 Ogos 2025, Apple mengeluarkan kemas kini keselamatan segera untuk mengatasi kelemahan kritikal zero-click (CVE-2025-43300) dalam rangka kerja Image I/Onya. Kelemahan ini membolehkan pemprosesan fail imej yang direka khusus yang boleh mencetuskan penulisan memori di luar had dan pelaksanaan kod sewenang-wenangnya tanpa memerlukan interaksi pengguna. Jenis eksploitasi ini, yang sering diklasifikasikan sebagai zero-click, amat berbahaya bagi pemegang cryptocurrency kerana ia boleh digunakan untuk menjejaskan aplikasi dompet dan mengakses kunci peribadi yang disimpan pada peranti.
Pemberitahuan Apple menyatakan bahawa terdapat bukti kelemahan ini telah dieksploitasi dalam serangan dunia nyata yang canggih terhadap sasaran bernilai tinggi. Platform yang terjejas termasuk iOS 18.6.2, iPadOS 18.6.2 dan 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 dan Ventura 13.7.8. Syarikat ini meningkatkan pemeriksaan had dalam perpustakaan Image I/O untuk membetulkan kekurangan pengendalian memori yang membenarkan penulisan di luar julat yang dibenarkan.
Pakar keselamatan memberi amaran bahawa sifat zero-click eksploitasi ini menghapuskan pencetus biasa yang dipacu pengguna, seperti membuka dokumen atau klik pada pautan. Sebaliknya, pelaku berniat jahat boleh menyematkan payload dalam metadata imej yang diedarkan melalui platform pesanan seperti iMessage. Apabila diterima, rutin rendering imej automatik peranti akan memproses data berniat jahat tersebut, menyebabkan peranti terjejas dan kemungkinan kecurian maklumat sensitif—termasuk kelayakan dompet cryptocurrency, frasa pemulihan dan token pengesahan pertukaran.
Juliano Rizzo, pengasas firma keselamatan siber Coinspect, menekankan risiko yang meningkat kepada pengguna aset digital. Beliau menasihatkan sasaran bernilai tinggi untuk segera menukar kunci peribadi dan memindahkan pegangan mereka ke dompet perkakasan. Untuk pengguna umum, Apple mengesyorkan pemasangan segera kemas kini keselamatan dan pengesahan versi perisian yang dipasang, memberi amaran bahawa melengahkan tampalan boleh menyebabkan peranti terdedah kepada serangan selanjutnya.
Penyedia analitik blockchain CertiK menyorot bahawa kelemahan zero-click serupa telah digunakan oleh pelaku ancaman negara dalam kempen sebelum ini. Kelemahan baru Apple ini menekankan keperluan untuk penyelidikan berterusan terhadap kelemahan dan amalan pendedahan proaktif. Ia menandakan zero-day keenam yang ditangani oleh Apple pada tahun 2025, satu rekod yang mencerminkan peningkatan keupayaan penyerang di alam sebenar.
Organisasi yang mengendalikan operasi cryptocurrency skala besar digalak melakukan audit peranti yang menyeluruh, menguatkuasakan polisi kemas kini yang ketat dan mempertimbangkan penyelesaian pertahanan ancaman mudah alih yang dapat mengesan tingkah laku luar biasa yang menunjukkan eksploitasi zero-click. Pembangun perisian dalam ekosistem crypto juga dinasihatkan untuk mengasingkan proses dompet dan meminimumkan permukaan serangan dengan memisahkan operasi menandatangani kritikal daripada kod aplikasi tujuan umum.
Dengan pelancaran tampalan kini aktif, Apple menegaskan komitmennya terhadap mitigasi kelemahan yang pantas dan kerjasama dengan komuniti penyelidikan keselamatan. Pengguna diarahkan kepada saluran sokongan Apple untuk arahan kemas kini dan panduan lanjut mengenai keselamatan peranti dan aset digital dalam landskap ancaman yang sentiasa berubah.
Komen (0)