25. avgusta 2025. godine, Apple je izdao hitno bezbednosno ažuriranje kako bi ublažio kritičnu ranjivost tipa zero-click (CVE-2025-43300) u okviru svog Image I/O sistema. Ova ranjivost je omogućavala obradu specijalno kreiranih slikovnih fajlova koji su mogli izazvati prekoračenje memorije i proizvoljnu izvršnu akciju koda bez potrebe za interakcijom korisnika. Ovakav tip napada, poznat kao zero-click, je posebno opasan za vlasnike kriptovaluta, jer može biti iskorišćen za kompromitovanje novčanika i pristup privatnim ključevima sačuvanim na uređaju.
Apple je u svom saopštenju naveo da postoje dokazi o iskorišćavanju ove ranjivosti u sofisticiranim realnim napadima usmerenim protiv visokovrednih meta. Platforme koje su pogođene uključuju iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. Kompanija je unapredila proveru granica u Image I/O biblioteci kako bi ispravila mane u rukovanju memorijom koje su dozvoljavale prekoračenje dozvoljenog opsega pisanja.
Bezbednosni eksperti upozoravaju da zero-click priroda ovog eksploita eliminiše uobičajene okidače pokrenute od strane korisnika, poput otvaranja dokumenta ili klika na link. Umesto toga, zlonamerni akteri mogu ugrađivati maliciozne podatke u metapodatke slika distribuiranih putem platformi za razmenu poruka kao što je iMessage. Nakon prijema, automatske rutine za prikaz slika na uređaju obrađuju maliciozne podatke, što vodi do kompromitacije uređaja i potencijalne krađe osetljivih informacija—including kredencijala za kripto-novčanike, fraza za oporavak i tokena za autentifikaciju na berzi.
Juliano Rizzo, osnivač firme za sajber bezbednost Coinspect, istakao je povećani rizik za korisnike digitalne imovine. Preporučio je da visoko vredne mete odmah rotiraju privatne ključeve i premeštaju sredstva na hardverske novčanike. Za opšte korisnike, Apple savetuje brzo instaliranje sigurnosnih ažuriranja i proveru verzija instaliranog softvera, upozoravajući da odlaganje zakrpa može ostaviti uređaje podložnim daljim napadima.
Provajder blockchain analitike CertiK istakao je da su slične zero-click ranjivosti ranije iskorišćavane od strane državnih aktera u prethodnim kampanjama. Nova Apple ranjivost ukazuje na potrebu za kontinuiranim istraživanjem ranjivosti i proaktivnim praksama njihovog objavljivanja. Ovo je šesta zero-day ranjivost koju je Apple rešio u 2025. godini, što predstavlja rekordni tempo koji odražava rastuće sposobnosti protivnika u stvarnom svetu.
Organizacije koje se bave velikim operacijama sa kriptovalutama pozvane su da sprovedu temeljne revizije uređaja, primene strogu politiku ažuriranja i razmotre rešenja za mobilnu odbranu koja mogu otkriti anomalne aktivnosti koje ukazuju na zero-click eksploatacije. Softverski programeri u kripto ekosistemu preporučuju se da izoluju procese novčanika i minimiziraju površine za napad odvajanjem kritičnih operacija potpisivanja od koda opšte namene aplikacija.
Sa sada dostupnim ažuriranjem, Apple je potvrdio svoju posvećenost brzoj mitigaciji ranjivosti i saradnji sa zajednicom istraživača bezbednosti. Korisnici su upućeni na Apple-ove kanale podrške za uputstva o ažuriranju i dodatne smernice za zaštitu uređaja i digitalne imovine u sve složenijem bezbednosnom okruženju.
Коментари (0)