Vào ngày 25 tháng 8 năm 2025, Apple đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục một lỗ hổng zero-click nghiêm trọng (CVE-2025-43300) trong framework Image I/O của mình. Lỗ hổng này cho phép xử lý các tệp hình ảnh được tạo ra một cách tinh vi có thể kích hoạt ghi bộ nhớ vượt quá giới hạn và thực thi mã tùy ý mà không yêu cầu tương tác của người dùng. Loại khai thác này, thường được phân loại là zero-click, đặc biệt nguy hiểm đối với những người nắm giữ tiền điện tử, vì nó có thể được sử dụng để xâm nhập vào các ứng dụng ví và truy cập các khóa riêng tư được lưu trữ trên thiết bị.
Thông báo của Apple cho biết có bằng chứng về việc lỗ hổng này đã bị khai thác trong các cuộc tấn công thực tế tinh vi nhằm vào các mục tiêu giá trị cao. Các nền tảng bị ảnh hưởng bao gồm iOS 18.6.2, iPadOS 18.6.2 và 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 và Ventura 13.7.8. Công ty đã cải thiện việc kiểm tra giới hạn trong thư viện Image I/O để sửa các lỗi xử lý bộ nhớ cho phép ghi ngoài phạm vi.
Các chuyên gia bảo mật cảnh báo rằng bản chất zero-click của khai thác này loại bỏ các tác nhân kích hoạt thông thường do người dùng điều khiển, chẳng hạn như mở một tài liệu hoặc nhấp vào một liên kết. Thay vào đó, các tác nhân độc hại có thể nhúng payload vào trong metadata của hình ảnh được phân phối qua các nền tảng nhắn tin như iMessage. Khi nhận được, các quy trình tự động hiển thị hình ảnh của thiết bị sẽ xử lý dữ liệu độc hại, dẫn đến việc thiết bị bị xâm nhập và có thể mất cắp thông tin nhạy cảm—bao gồm thông tin đăng nhập ví tiền điện tử, cụm từ phục hồi và mã xác thực sàn giao dịch.
Juliano Rizzo, người sáng lập công ty an ninh mạng Coinspect, nhấn mạnh rủi ro cao đối với người dùng tài sản kỹ thuật số. Ông khuyến nghị các mục tiêu giá trị cao ngay lập tức thay đổi khóa riêng và di chuyển tài sản sang ví phần cứng. Đối với người dùng phổ thông, Apple khuyến cáo cài đặt kịp thời các bản cập nhật bảo mật và xác minh phiên bản phần mềm đang sử dụng, cảnh báo rằng việc trì hoãn vá lỗi có thể khiến thiết bị dễ bị các cuộc tấn công tiếp theo.
Nhà cung cấp phân tích blockchain CertiK nhấn mạnh rằng các lỗ hổng zero-click tương tự đã từng được các tác nhân đe dọa từ các quốc gia sử dụng trong các chiến dịch trước đây. Lỗi mới của Apple làm nổi bật sự cần thiết cho việc nghiên cứu lỗ hổng liên tục và thực hành công bố chủ động. Đây là lỗi zero-day thứ sáu được Apple xử lý trong năm 2025, một kỷ lục phản ánh khả năng ngày càng tăng của các đối thủ trong môi trường thực tế.
Các tổ chức quản lý các hoạt động tiền điện tử quy mô lớn được khuyến cáo tiến hành kiểm tra thiết bị toàn diện, thực thi chính sách cập nhật nghiêm ngặt và xem xét các giải pháp phòng vệ mối đe dọa di động có thể phát hiện các hành vi bất thường biểu thị khai thác zero-click. Các nhà phát triển phần mềm trong hệ sinh thái crypto cũng được khuyên nên cô lập các quy trình ví và giảm thiểu bề mặt tấn công bằng cách tách biệt các hoạt động ký quan trọng khỏi mã ứng dụng đa năng.
Với việc triển khai bản vá hiện đã sẵn sàng, Apple tái khẳng định cam kết giảm thiểu lỗ hổng nhanh chóng và hợp tác với cộng đồng nghiên cứu bảo mật. Người dùng được hướng dẫn truy cập các kênh hỗ trợ của Apple để nhận chỉ dẫn cập nhật và hướng dẫn thêm về bảo vệ thiết bị cũng như tài sản kỹ thuật số trong bối cảnh mối đe dọa ngày càng phát triển.
Bình luận (0)