Apple исправила уязвимости без необходимости кликов, угрожающие криптокошелькам

25 августа 2025 года Apple выпустила срочное обновление безопасности для устранения критической уязвимости с нулевым взаимодействием (CVE-2025-43300) в своем фреймворке Image I/O. Ошибка позволяла обрабатывать специально подготовленные файлы изображений, которые могли приводить к выходу за границы выделенной памяти и выполнению произвольного кода без участия пользователя. Такой тип эксплойта, часто называемый zero-click, особенно опасен для обладателей криптовалюты, так как может использоваться для компрометации кошельков и получения доступа к приватным ключам, хранящимся на устройстве.

В уведомлении Apple отмечается, что имеются доказательства эксплуатации уязвимости в сложных реальных атаках на ценные цели. Затрагиваемые платформы включают iOS 18.6.2, iPadOS 18.6.2 и 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 и Ventura 13.7.8. Компания улучшила проверку границ в библиотеке Image I/O для устранения ошибок обработки памяти, что предотвращает записи за пределами выделенной области.

Эксперты по безопасности предупреждают, что zero-click природа эксплойта исключает обычные действия пользователя, такие как открытие документа или нажатие на ссылку. Вместо этого злоумышленники могут внедрять вредоносный код в метаданные изображений, распространяемых через мессенджеры, например, iMessage. После получения устройство автоматически обрабатывает изображение, что приводит к компрометации и возможной краже конфиденциальных данных – включая данные криптокошельков, фразы восстановления и токены аутентификации на биржах.

Джулиано Риццо, основатель кибербезопасной компании Coinspect, подчеркнул повышенный риск для пользователей цифровых активов. Он рекомендовал высокоценных пользователей немедленно сменить приватные ключи и перевести активы на аппаратные кошельки. Для обычных пользователей Apple советует срочно установить обновления безопасности и проверить версии установленных программ, предупреждая, что отсрочка с патчем увеличивает риск дальнейших атак.

Провайдер блокчейн-аналитики CertiK отметил, что аналогичные уязвимости zero-click ранее использовались государственными хакерскими группами в кампаний. Новая ошибка Apple подчеркивает необходимость постоянных исследований уязвимостей и своевременного их раскрытия. Это уже шестая уязвимость zero-day, устраненная Apple в 2025 году — рекордный показатель, отражающий растущие возможности злоумышленников в дикой природе.

Организации, работающие с крупномасштабными криптооперациями, настоятельно рекомендуют проводить тщательные аудиты устройств, строго соблюдать политики обновления и рассматривать внедрение решений мобильной защиты, способных выявлять аномалии, характерные для zero-click эксплойтов. Разработчикам программного обеспечения в криптоэкосистеме также советуют изолировать процессы кошельков и минимизировать поверхности атаки, отделяя критичные операции подписи от общего кода приложений.

С запуском патча Apple вновь подтвердил свою приверженность быстрой нейтрализации уязвимостей и сотрудничеству с исследователями безопасности. Пользователям рекомендовано обратиться к поддержке Apple для инструкций по обновлению и дополнительным рекомендациям по защите устройств и цифровых активов в условиях развивающихся угроз.