Lu 25 d'austu 2025, Apple ha rilasciatu 'n aghjurnamentu di sicurizza urgenti pi mitigari na vulnerabbilità critica senza clic (CVE-2025-43300) nta lu so framework Image I/O. Stu difettu permettìa lu trattamentu di file d'immagini manipolati chi putìanu scatinari scritturi fora dî limiti dâ memoria e esecuzioni arbitrarii di còdici senza bisognu dâ nterazzioni dû utenti. Stu tipu d'attaccu, spissu classificatu comu zero-click, è particularmenti periculusu pi li tintinuti di criptovaluta, pirchì putissi èssiri usatu pi compromettiri l'applicazzioni di portafoglio e accènniri ê chiavi privati archiviati nta lu dispositivu.
L’avisu di Apple indicava ca ci sunnu evidenzi ca sta vulnerabbilità è stata utilizata nta attacchi sofisticati nti lu munnu reali cuntra obiettivi di altu valuri. Li piattaformi affettati includunu iOS 18.6.2, iPadOS 18.6.2 e 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. La cumpagnia ha nfurzatu lu cuntrollu dî limiti nta la libreria Image I/O pi arristari li difetti ntâ gestione di la memoria ca causavanu scritturi fora di scopu.
L'esperti di sicurizza avìsanu ca la natura zero-click di stu attaccu lividda li normali azzioni di l'utenti comu l'apertura di nu documentu o lu cliccari n link. Nveci, li malintenzionati ponnu ntènniri payloads nta li metadata dî mmàggini distribuiti attraversu piattaformi di messagin cum'è iMessage. Quannu riceviuti, li rutini automatici di renderizzazzioni dâ mmàggini si occupanu di sti dati dîbbuli, purtannu a lu compromettu dû dispositivu e lu risicu di furto di nfurmazzioni sensìbbili—cumprese credenziali di portafogli di criptovaluta, frasi di recuperu e token di autenticazzioni pi scambii.
Juliano Rizzo, fundaturi dâ ditta di cybersecurity Coinspect, sottuliniò lu riscatu elevatu pi l'utilizzaturi d'attivi digitali. Cunsigghiau a l'obiettivi di altu valuri di ruotari subitu li chiavi privati e migrari li risorsi a portafogli hardware. Pi l'utenti ginirali, Apple cunsigghiau di installari prestu l'aghjurnamenti di sicurizza e verificari la virsioni dû software installatu, avvisannu ca ritardari lu patch putissi lassari li dispositivi vulnerabbili a attacchi cchiù gravi.
Lu fornituri di analisi blockchain CertiK spurtau ca vulnerabbilitati zero-click simili hannu statu sfruttati di attori statali nti campagni passati. Lu novu difettu Apple suttulinea la nicissità di ricircari cuntinua di vulnerabbilitati e pratiche di divulgazioni proattivi. È lu sestu zero-day trattatu di Apple nta lu 2025, un ritmu record ca riflitti la crescita di capacità avversariali ntô munnu.
Li urganizzazzioni chi gestiscinu operazzioni di criptovaluti a larga scala sunnu ncitati a fari audit di dispositivi cumpleti, a imposari pulitichi rigorusi di aghjurnamentu e a cunsidirari suluzzioni di difesa contru minacci mobili ca ponnu rilevari cumpurtamenti anomali indicativi di sfruttamenti zero-click. Li sviluppaturi di software ntô ecosistèma crypto sunnu cunsigghiati puru di isolari li prucessi di portafogli e di minimizzari li superfici d'attaccu scunziannu l'operazzioni critichi di firma dû còdici di applicazzioni generali.
Cû rilascio dû patch ora attivatu, Apple ha rinnovatu lu sò 'mpegno pi na mitigazzioni rapida di vulnerabbilitati e la cuuperazzioni cu la cumunità di ricerca di sicurizza. L'utenti sunnu invitati a aduprari li canali di supportu di Apple pi istruzzioni di aghjurnamentu e cunsigghi supra comu sigurarisi li dispositivi e l'attivi digitali ntô paisaggiu di minaccia ca evolvi.
Cummenti (0)