25. avgusta 2025. Apple je izdao hitnu bezbednosnu nadogradnju za ublažavanje kritične zero-click ranjivosti (CVE-2025-43300) u okviru Image I/O. Ova mane omogućavala je obradu posebno oblikovanih slikovnih fajlova koji su mogli pokrenuti upise van granica memorije i izvršenje proizvoljnog koda bez potrebe za interakcijom korisnika. Ovakav tip eksploatacije, često klasifikovan kao zero-click, posebno je opasan za vlasnike kriptovaluta jer se može koristiti za kompromitovanje aplikacija novčanika i pristup privatnim ključevima uskladištenim na uređaju.
Apple je u svom saopštenju naveo da postoje dokazi o iskorišćavanju ranjivosti u sofisticiranim napadima na visoko vredne mete u stvarnom svetu. Pogođene platforme uključuju iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. Kompanija je unapredila provere granica u Image I/O biblioteci kako bi ispravila propuste u upravljanju memorijom koji su omogućavali upise van opsega.
Bezbednosni stručnjaci upozoravaju da zero-click priroda eksploatacije eliminiše tipične okidače koje pokreću korisnici, kao što je otvaranje dokumenta ili klik na link. Umesto toga, zlonamerni akteri mogu ugraditi maliciozne sadržaje u meta-podatke slika koje se distribuiraju preko platformi za razmenu poruka poput iMessage-a. Po prijemu, automatski procesi prikaza slika na uređaju obrađuju maliciozne podatke, što dovodi do kompromitovanja uređaja i potencijalne krađe osetljivih informacija – uključujući kredencijale kripto-novčanika, fraze za oporavak i tokene za autentikaciju na berzama.
Juliano Rizzo, osnivač firme za sajber bezbednost Coinspect, naglasio je povećani rizik za korisnike digitalne imovine. Preporučio je da visoko vredne mete odmah rotiraju privatne ključeve i prebace sredstva na hardverske novčanike. Za opšte korisnike, Apple savetuje brzu instalaciju bezbednosnih nadogradnji i verifikaciju verzija instaliranog softvera, upozoravajući da odlaganje zakrpe može ostaviti uređaje ranjivim na dalje napade.
Provajder analitike blokčeina CertiK istakao je da su slične zero-click ranjivosti prethodno iskorišćavane od strane aktera sa državnim podrškama u prethodnim kampanjama. Nova Apple mana ističe potrebu za kontinuiranim istraživanjem ranjivosti i proaktivnim praksama otkrivanja. Ovo je šesti zero-day koje je Apple adresirao u 2025. godini, što predstavlja rekordnu učestalost odražavajući rastuće kapacitete neprijatelja na terenu.
Organizacije koje upravljaju velikim kripto-operacijama pozvane su da sprovedu detaljne revizije uređaja, primene stroge politike ažuriranja i razmotre mobilna rešenja za zaštitu koja mogu detektovati anomalna ponašanja karakteristična za zero-click exploite. Programeri softvera u kripto ekosistemu takođe se savetuju da izoluju procese novčanika i minimiziraju površinu napada odvajanjem kritičnih operacija potpisivanja od koda opšte namene aplikacija.
Sa sada dostupnom zakrpom, Apple je potvrdio svoju posvećenost brzom otklanjanju ranjivosti i saradnji sa bezbednosnom istraživačkom zajednicom. Korisnici se upućuju na Apple-ove kanale podrške za instrukcije o ažuriranju i dodatne savete za zaštitu uređaja i digitalnih sredstava u sve izazovnijem bezbednosnom okruženju.
Коментари (0)