Pe 25 august 2025, Apple a emis o actualizare urgentă de securitate pentru a atenua o vulnerabilitate critică zero-click (CVE-2025-43300) în cadrul sistemului său Image I/O. Defecțiunea permitea procesarea fișierelor de imagine create special care puteau declanșa scrieri în afara limitelor memoriei și executarea arbitrară a codului fără a necesita interacțiunea utilizatorului. Acest tip de exploit, adesea clasificat ca zero-click, este deosebit de periculos pentru deținătorii de criptomonede, deoarece poate fi folosit pentru a compromite aplicațiile de portofel și a accesa cheile private stocate pe dispozitiv.
Avertismentul Apple a notat că există dovezi că vulnerabilitatea a fost exploatată în atacuri sofisticate din lumea reală împotriva unor ținte de mare valoare. Platformele afectate includ iOS 18.6.2, iPadOS 18.6.2 și 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 și Ventura 13.7.8. Compania a îmbunătățit verificarea limitelor în biblioteca Image I/O pentru a corecta deficiențele de gestionare a memoriei care permiteau scrierile în afara domeniului.
Experții în securitate avertizează că natura exploitului zero-click elimină declanșatoarele obișnuite inițiate de utilizatori, precum deschiderea unui document sau clicul pe un link. În schimb, actorii rău intenționați pot încorpora încărcături utile în metadatele imaginilor distribuite prin platforme de mesagerie precum iMessage. La primire, rutinele automate de redare a imaginilor de pe dispozitiv ar procesa datele malițioase, conducând la compromiterea dispozitivului și potențial furtul de informații sensibile — inclusiv acreditările portofelelor criptomonede, frazele de recuperare și tokenurile de autentificare pentru schimburi.
Juliano Rizzo, fondatorul firmei de securitate cibernetică Coinspect, a subliniat riscul crescut pentru utilizatorii de active digitale. El a recomandat țăintelor de mare valoare să-și rotească imediat cheile private și să-și migreze fondurile către portofele hardware. Pentru utilizatorii obișnuiți, Apple a recomandat instalarea promptă a actualizărilor de securitate și verificarea versiunilor software instalate, avertizând că întârzierea patch-ului ar putea lăsa dispozitivele expuse la atacuri suplimentare.
Furnizorul de analitice blockchain CertiK a evidențiat că vulnerabilități zero-click similare au fost exploatate anterior de actori statali în campanii anterioare. Noua defecțiune Apple subliniază necesitatea cercetării continue a vulnerabilităților și a practicilor proactive de publicare. Aceasta marchează a șasea vulnerabilitate zero-day abordată de Apple în 2025, un ritm record care reflectă capacități adversariale în creștere în mediul real.
Organizațiile care gestionează operațiuni mari de criptomonede sunt îndemnate să efectueze audituri amănunțite ale dispozitivelor, să impună politici stricte de actualizare și să ia în considerare soluții de apărare împotriva amenințărilor mobile care pot detecta comportamente anormale indicative pentru exploit-uri zero-click. Dezvoltatorii software din ecosistemul cripto sunt, de asemenea, sfătuiți să izoleze procesele portofelelor și să minimizeze suprafețele de atac prin decuplarea operațiunilor critice de semnare de codul aplicațiilor cu scop general.
Odată cu lansarea patch-ului, Apple și-a reafirmat angajamentul pentru atenuarea rapidă a vulnerabilităților și colaborarea cu comunitatea de cercetare în securitate. Utilizatorii sunt îndrumați către canalele de suport Apple pentru instrucțiuni privind actualizările și ghiduri suplimentare despre protejarea dispozitivelor și activelor digitale în peisajul amenințărilor în evoluție.
Comentarii (0)