25. avgusta 2025 je Apple izdal nujno varnostno posodobitev za omilitev kritične ranljivosti brez klika (CVE-2025-43300) v okviru Image I/O. Napaka je omogočala obdelavo izdelanih slikovnih datotek, ki bi lahko sprožile zapise izven mej pomnilnika in izvršitev poljubne kode brez interakcije uporabnika. Ta vrsta izkoriščanja, pogosto označena kot zero-click, je še posebej nevarna za imetnike kriptovalut, saj jo je mogoče uporabiti za kompromitacijo denarnic in dostop do zasebnih ključev, shranjenih na napravi.
Apple je v svojem obvestilu navedel, da obstajajo dokazi o izkoriščanju ranljivosti v sofisticiranih resničnih napadih na tarče z visoko vrednostjo. Prizadete platforme vključujejo iOS 18.6.2, iPadOS 18.6.2 in 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 in Ventura 13.7.8. Podjetje je izboljšalo preverjanje mej v knjižnici Image I/O, da bi odpravilo pomanjkljivosti pri upravljanju pomnilnika, ki so omogočale zapise izven dovoljenih meja.
Varnostni strokovnjaki opozarjajo, da narava izkoriščanja brez klika izključuje običajne sprožilce, ki jih sproži uporabnik, kot je odpiranje dokumenta ali klik na povezavo. Namesto tega lahko zlonamerni akterji vstavijo škodljive vsebine v metapodatke slik, ki se prenašajo preko platform za sporočanje, kot je iMessage. Po prejemu bi samodejni postopki upodabljanja slik na napravi obdelali zlonamerne podatke, kar bi vodilo do kompromitiranja naprave in morebitne kraje občutljivih informacij – vključno s poverilnicami kripto denarnic, obnovitvenimi frazami in avtentikacijskimi žetoni za menjalnice.
Juliano Rizzo, ustanovitelj podjetja za kibernetsko varnost Coinspect, je poudaril povišano tveganje za uporabnike digitalnih sredstev. Svetoval je, da tarče z visoko vrednostjo nemudoma zamenjajo zasebne ključe in prenesejo sredstva na strojne denarnice. Običajnim uporabnikom Apple priporoča takojšnjo namestitev varnostnih posodobitev in preverjanje različic nameščene programske opreme, opozarjajoč, da lahko odlašanje s popravkom izpostavi naprave dodatnim napadom.
Dobavitelj analitike blockchaina CertiK je poudaril, da so podobne ranljivosti brez klika v preteklih kampanjah izkoriščali državni hekerski akterji. Nova ranljivost Apple poudarja potrebo po stalnem raziskovanju ranljivosti in proaktivnem razkrivanju. To je šesta ničelna dnevna ranljivost, ki jo je Apple rešil v letu 2025, kar je rekordno število, ki odraža naraščajoče sposobnosti nasprotnikov v naravi.
Organizacije, ki upravljajo velike operacije s kriptovalutami, so pozvane, naj izvedejo temeljite preglede naprav, izvajajo stroge politike posodobitev in razmislijo o rešitvah za zaščito mobilnih naprav, ki lahko zaznavajo nenavadna vedenja, značilna za izkoriščanja brez klika. Razvijalce programske opreme v kripto ekosistemu svetujejo, naj izolirajo procese denarnic in zmanjšajo napadalne površine z ločevanjem kritičnih podpisnih operacij od splošne kode aplikacij.
Ob zdaj aktivnem uvajanju popravka je Apple znova potrdil svojo zavezanost hitremu odpravljanju ranljivosti ter sodelovanju z skupnostjo raziskovalcev varnosti. Uporabnike napotujejo na podporne kanale Apple za navodila o posodobitvah in nadaljnja priporočila za zaščito naprav in digitalnih sredstev v spreminjajočem se varnostnem okolju.
Komentarji (0)