U 25 d’austu 2025, Apple cuminnicau un aghjurnamentu di sicurizza urgenti pi miticari na vulnurabilità critica zero-click (CVE-2025-43300) nta lu so framework Image I/O. Stu difettu purtava a lu trattamentu di file d’immagini artificali ca putìanu causari scrivuti fora di li limiti e esecuziunii arbitrarii di codici senza nicissità di n’interazzioni dû utenti. Stu tipu di sfruttamentu, spissu classificatu comu zero-click, è particularmenti periculusu pi li detinenti di criptomonete, pirchì putissi essiri utilizzatu pi cumprumittiri app di wallet e accèssu a chiavi privati arripusati ntô dispositivu.
L’avvisu di Apple notò ca esistinu evidenzi di la sfruttamentu di sta vulnurabilità nta attacchi sofisticati reali contru obiettivi di autu valori. Li piattaformi affittati sunnu iOS 18.6.2, iPadOS 18.6.2 e 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. La cumpagnia ha rinfurzatu li cuntrolli di li limiti ntâ libreria Image I/O pi curriggiri li difetti di gestioni di memoria chi facìanu pussìbbili scrivuti fora di l’ambitu previstu.
Li esperti di sicurizza avvisanu ca la natura zero-click di stu sfruttamentu annulla li trigger tipici guidati di l’utenti, comu apriri nu ducumentu o cliccari nu link. Inveci, attori malintinzionati ponnu nseriri payloads ntâ metadata di l’immagini spartuti tramite piattaformi di messaggeria comu iMessage. Quannu u dispositivu ricevi, li rutini automatici di renderizzazioni di l’imagini prucessanu sti dati mali, purtannu a la cumprumissioni dû dispositivu e pòssibili furti di nfurmazioni sensibuli—cumprese credenziali di wallet di criptomonete, frasi di ricuperu e token di autenticazioni di scambi.
Juliano Rizzo, fundaturi di la firma di cybersecurity Coinspect, hà mittutu n’evidenza lu risicu à utu pi l’utenti di asset digitali. Cunsigghiau a l’obiettivi di autu valori di ruvulutari subitu li chiavi privati e migrari li detenzi a wallet hardware. Pi l’utenti ginirali, Apple ricumanna l’installazzioni rapida di li aghjurnamenti di sicurizza e la verifica di li versioni di software installati, avvisannu ca ritardari lu patch putissi lassari li dispositivi exposti a altri attacchi.
Lu fornituri di analytics blockchain CertiK hĂ sottulinatu ca vulnurabilitĂ zero-click simili foru sfruttati da attori di statu nation ntĂ® campagni passati. Lu novu difettu di Apple rinfurza la nicissitĂ di ricerca cuntinua di vulnurabilitĂ e pratiche proattivi di divulgazioni. Rappresenta lu sestu zero-day trattatu da Apple ntĂ´ 2025, nu ritmu record chi riflette capacitĂ adversarĂ® crescenti ntĂ´ munnu reale.
L’organizzazioni chi gestiscinu operazioni criptomonetarie su scala ranni sunnu sprunate a fari audit accurati di li dispositivi, a impuniri pulitichi di aghjurnamentu stretti e a cunsidirari suluzioni di difesa contra minacci mobili chi ponnu rilevari cummurtamenti anomali indicative di sfruttamenti zero-click. Li sviluppaturi di software nta l’ecosistemu cripto sunnu puru cunsigghiati di isolari li prucessi di wallet e minimalizzari li superficii di attacchi disaccopiannu li operazzioni critichi di firma dû còdici di applicazioni ginirali.
Cù lu rilascio dû patch ora attivu, Apple ribadì lu sò impegnu a na mitigazioni rapida di vulnurabilità e a la cuuperazioni cu la cumunità di ricerca di sicurizza. Li utenti sunnu indirizzati a li canali di supportu di Apple pi istruzzioni supra l’aghjurnamenti e cunsigliu addizzionali pi sigurarisi di li dispositivi e di l’asset digitali ntô paisaggiu di minacci ca cambia.
Cummenti (0)