Pada tanggal 25 Agustus 2025, Apple ngaluarkeun apdet kaamanan darurat pikeun ngungkulan kerentanan kritis zero-click (CVE-2025-43300) dina kerangka Image I/O na. Kelemahan ieu ngamungkinkeun ngolah file gambar anu dirarancang khusus anu tiasa nyababkeun panulisan mémori luar batas sareng éksekusi kode sacara arbiter tanpa peryogi interaksi pangguna. Jenis eksploitasi ieu, anu sering diklasifikasikeun salaku zero-click, pisan ngabahayakeun pikeun para pamegang cryptocurrency, sabab tiasa dipaké pikeun ngancem aplikasi dompét sareng ngakses konci pribadi anu disimpen dina alat.
Penaséhat Apple nyatet yén aya bukti karentanan ieu geus dieksploitasi dina serangan dunya nyata anu rumit ngalawan sasaran bernilai tinggi. Platform anu kapangaruhan kalebet iOS 18.6.2, iPadOS 18.6.2 sareng 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 sareng Ventura 13.7.8. Pausahaan ningkatkeun panyalindungan wates dina perpustakaan Image I/O pikeun ngabenerkeun kakurangan pamrosésan mémori anu ngamungkinkeun panulisan luar jangkauan.
Para ahli kaamanan ngingetkeun yén sifat zero-click tina eksploitasi ngahapus cara tradisional anu diaktipkeun ku pangguna, sapertos muka dokumén atawa ngaklik tautan. Sabalikna, aktor jahat tiasa nyelipkeun muatan jahat dina metadata gambar anu disebarkeun ngaliwatan platform olahpesen sapertos iMessage. Nalika ditampi, rétina gambar otomatis dina alat bakal ngolah data jahat éta, nyababkeun kompromi alat sareng poténsial maling inpormasi sénsitip—kalebet kredensial dompét cryptocurrency, frasa pamulihan, sareng token otentikasi bursa.
Juliano Rizzo, pangadeg firma kaamanan siber Coinspect, nekenkeun résiko anu leuwih luhur pikeun pangguna aset digital. Anjeunna nyarankeun yén sasaran bernilai luhur sacara gancang ngarotasi konci pribadi sareng mindahkeun simpanan ka dompét hardware. Pikeun pangguna umum, Apple nyarankeun pikeun langsung masang apdet kaamanan sareng mariksa versi perangkat lunak anu dipasang, kalayan peringatan yén nunda tambalan tiasa ninggalkeun alat rawan kana serangan salajengna.
Panyadia analitik blockchain CertiK negeskeun yén kerentanan zero-click anu sami parantos dimanfaatkeun ku aktor ancaman nagara dina kampanye saméméhna. Kasalahan anyar Apple ieu nandakeun kabutuhan pikeun panalungtikan kerentanan anu kontinyu sareng prakték pangungkapan anu proaktif. Ieu mangrupikeun zero-day ka genep anu diatasi ku Apple dina taun 2025, hiji rekor anu ngagambarkeun ngembangna kamampuan musuh di dunya nyata.
Organisasi anu ngatur operasi cryptocurrency skala badag disarankeun pikeun ngalaksanakeun audit alat anu jero, maksa kawijakan apdet anu ketat, sareng mertimbangkeun solusi pertahanan ancaman mobile anu tiasa ngadeteksi kalakuan anomali anu nunjukkeun exploitasi zero-click. Pamekar perangkat lunak dina ékosistem kripto ogé disarankeun pikeun misahkeun prosés dompét sareng ngurangan permukaan serangan ku misahkeun operasi tanda tangan kritis ti kode aplikasi umum.
Saatos peluncuran tambalan ayeuna aktif, Apple mastikeun komitmenna pikeun ngungkulan kerentanan sacara gancang sareng gawé bareng komunitas panalungtik kaamanan. Pangguna diarahkan ka saluran dukungan Apple pikeun pitunjuk apdet sareng panduan tambahan pikeun ngamankeun alat sareng aset digital dina lanskap ancaman anu terus berkembang.
Komentar (0)