Lu 25 d'austu 2025, Apple ha rilasciatu 'n aghjurnamentu di sicurizza urgenti pi mitigari na vulnerabbilità critica senza clic (CVE-2025-43300) nta lu so framework Image I/O. Stu difettu permettÏa lu trattamentu di file d'immagini manipolati chi putÏanu scatinari scritturi fora dÎ limiti dâ memoria e esecuzioni arbitrarii di còdici senza bisognu dâ nterazzioni dÝ utenti. Stu tipu d'attaccu, spissu classificatu comu zero-click, è particularmenti periculusu pi li tintinuti di criptovaluta, pirchÏ putissi èssiri usatu pi compromettiri l'applicazzioni di portafoglio e accènniri ê chiavi privati archiviati nta lu dispositivu.
Lâavisu di Apple indicava ca ci sunnu evidenzi ca sta vulnerabbilità è stata utilizata nta attacchi sofisticati nti lu munnu reali cuntra obiettivi di altu valuri. Li piattaformi affettati includunu iOS 18.6.2, iPadOS 18.6.2 e 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. La cumpagnia ha nfurzatu lu cuntrollu dĂŽ limiti nta la libreria Image I/O pi arristari li difetti ntâ gestione di la memoria ca causavanu scritturi fora di scopu.
L'esperti di sicurizza avĂŹsanu ca la natura zero-click di stu attaccu lividda li normali azzioni di l'utenti comu l'apertura di nu documentu o lu cliccari n link. Nveci, li malintenzionati ponnu ntènniri payloads nta li metadata dĂŽ mmĂ ggini distribuiti attraversu piattaformi di messagin cum'è iMessage. Quannu riceviuti, li rutini automatici di renderizzazzioni dâ mmĂ ggini si occupanu di sti dati dĂŽbbuli, purtannu a lu compromettu dĂť dispositivu e lu risicu di furto di nfurmazzioni sensĂŹbbiliâcumprese credenziali di portafogli di criptovaluta, frasi di recuperu e token di autenticazzioni pi scambii.
Juliano Rizzo, fundaturi dâ ditta di cybersecurity Coinspect, sottuliniò lu riscatu elevatu pi l'utilizzaturi d'attivi digitali. Cunsigghiau a l'obiettivi di altu valuri di ruotari subitu li chiavi privati e migrari li risorsi a portafogli hardware. Pi l'utenti ginirali, Apple cunsigghiau di installari prestu l'aghjurnamenti di sicurizza e verificari la virsioni dÝ software installatu, avvisannu ca ritardari lu patch putissi lassari li dispositivi vulnerabbili a attacchi cchiÚ gravi.
Lu fornituri di analisi blockchain CertiK spurtau ca vulnerabbilitati zero-click simili hannu statu sfruttati di attori statali nti campagni passati. Lu novu difettu Apple suttulinea la nicissitĂ di ricircari cuntinua di vulnerabbilitati e pratiche di divulgazioni proattivi. Ă lu sestu zero-day trattatu di Apple nta lu 2025, un ritmu record ca riflitti la crescita di capacitĂ avversariali ntĂ´ munnu.
Li urganizzazzioni chi gestiscinu operazzioni di criptovaluti a larga scala sunnu ncitati a fari audit di dispositivi cumpleti, a imposari pulitichi rigorusi di aghjurnamentu e a cunsidirari suluzzioni di difesa contru minacci mobili ca ponnu rilevari cumpurtamenti anomali indicativi di sfruttamenti zero-click. Li sviluppaturi di software ntô ecosistèma crypto sunnu cunsigghiati puru di isolari li prucessi di portafogli e di minimizzari li superfici d'attaccu scunziannu l'operazzioni critichi di firma dÝ còdici di applicazzioni generali.
CÝ rilascio dÝ patch ora attivatu, Apple ha rinnovatu lu sò 'mpegno pi na mitigazzioni rapida di vulnerabbilitati e la cuuperazzioni cu la cumunità di ricerca di sicurizza. L'utenti sunnu invitati a aduprari li canali di supportu di Apple pi istruzzioni di aghjurnamentu e cunsigghi supra comu sigurarisi li dispositivi e l'attivi digitali ntô paisaggiu di minaccia ca evolvi.
Cummenti (0)