U 25 dâaustu 2025, Apple cuminnicau un aghjurnamentu di sicurizza urgenti pi miticari na vulnurabilitĂ critica zero-click (CVE-2025-43300) nta lu so framework Image I/O. Stu difettu purtava a lu trattamentu di file dâimmagini artificali ca putĂŹanu causari scrivuti fora di li limiti e esecuziunii arbitrarii di codici senza nicissitĂ di nâinterazzioni dĂť utenti. Stu tipu di sfruttamentu, spissu classificatu comu zero-click, è particularmenti periculusu pi li detinenti di criptomonete, pirchĂŹ putissi essiri utilizzatu pi cumprumittiri app di wallet e accèssu a chiavi privati arripusati ntĂ´ dispositivu.
Lâavvisu di Apple notò ca esistinu evidenzi di la sfruttamentu di sta vulnurabilitĂ nta attacchi sofisticati reali contru obiettivi di autu valori. Li piattaformi affittati sunnu iOS 18.6.2, iPadOS 18.6.2 e 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. La cumpagnia ha rinfurzatu li cuntrolli di li limiti ntâ libreria Image I/O pi curriggiri li difetti di gestioni di memoria chi facĂŹanu pussĂŹbbili scrivuti fora di lâambitu previstu.
Li esperti di sicurizza avvisanu ca la natura zero-click di stu sfruttamentu annulla li trigger tipici guidati di lâutenti, comu apriri nu ducumentu o cliccari nu link. Inveci, attori malintinzionati ponnu nseriri payloads ntâ metadata di lâimmagini spartuti tramite piattaformi di messaggeria comu iMessage. Quannu u dispositivu ricevi, li rutini automatici di renderizzazioni di lâimagini prucessanu sti dati mali, purtannu a la cumprumissioni dĂť dispositivu e pòssibili furti di nfurmazioni sensibuliâcumprese credenziali di wallet di criptomonete, frasi di ricuperu e token di autenticazioni di scambi.
Juliano Rizzo, fundaturi di la firma di cybersecurity Coinspect, hĂ mittutu nâevidenza lu risicu Ă utu pi lâutenti di asset digitali. Cunsigghiau a lâobiettivi di autu valori di ruvulutari subitu li chiavi privati e migrari li detenzi a wallet hardware. Pi lâutenti ginirali, Apple ricumanna lâinstallazzioni rapida di li aghjurnamenti di sicurizza e la verifica di li versioni di software installati, avvisannu ca ritardari lu patch putissi lassari li dispositivi exposti a altri attacchi.
Lu fornituri di analytics blockchain CertiK hĂ sottulinatu ca vulnurabilitĂ zero-click simili foru sfruttati da attori di statu nation ntĂŽ campagni passati. Lu novu difettu di Apple rinfurza la nicissitĂ di ricerca cuntinua di vulnurabilitĂ e pratiche proattivi di divulgazioni. Rappresenta lu sestu zero-day trattatu da Apple ntĂ´ 2025, nu ritmu record chi riflette capacitĂ adversarĂŽ crescenti ntĂ´ munnu reale.
Lâorganizzazioni chi gestiscinu operazioni criptomonetarie su scala ranni sunnu sprunate a fari audit accurati di li dispositivi, a impuniri pulitichi di aghjurnamentu stretti e a cunsidirari suluzioni di difesa contra minacci mobili chi ponnu rilevari cummurtamenti anomali indicative di sfruttamenti zero-click. Li sviluppaturi di software nta lâecosistemu cripto sunnu puru cunsigghiati di isolari li prucessi di wallet e minimalizzari li superficii di attacchi disaccopiannu li operazzioni critichi di firma dĂť còdici di applicazioni ginirali.
CĂš lu rilascio dĂť patch ora attivu, Apple ribadĂŹ lu sò impegnu a na mitigazioni rapida di vulnurabilitĂ e a la cuuperazioni cu la cumunitĂ di ricerca di sicurizza. Li utenti sunnu indirizzati a li canali di supportu di Apple pi istruzzioni supra lâaghjurnamenti e cunsigliu addizzionali pi sigurarisi di li dispositivi e di lâasset digitali ntĂ´ paisaggiu di minacci ca cambia.
Cummenti (0)