Vào ngày 25 tháng 8 năm 2025, Apple đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng nghiêm trọng không yêu cầu tương tác người dùng (CVE-2025-43300) trong framework Image I/O của mình. Lỗ hổng cho phép xử lý các tệp hình ảnh được tạo đặc biệt có thể kích hoạt việc ghi bộ nhớ ngoài phạm vi và thực thi mã tùy ý mà không cần tương tác từ người dùng. Loại khai thác này, thường được gọi là không cần nhấp chuột, đặc biệt nguy hiểm đối với người giữ tiền điện tử, vì nó có thể được sử dụng để xâm nhập vào các ứng dụng ví và truy cập khóa riêng tư lưu trên thiết bị.
Cảnh báo của Apple cho biết có bằng chứng về việc lỗ hổng này đã bị khai thác trong các cuộc tấn công tinh vi ngoài thực tế nhắm vào các mục tiêu có giá trị cao. Các nền tảng bị ảnh hưởng bao gồm iOS 18.6.2, iPadOS 18.6.2 và 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 và Ventura 13.7.8. Công ty đã cải thiện việc kiểm tra giới hạn trong thư viện Image I/O để khắc phục các sai sót trong xử lý bộ nhớ cho phép ghi ngoài phạm vi.
Các chuyên gia bảo mật cảnh báo rằng đặc điểm không cần nhấp chuột của khai thác này loại bỏ các tác nhân kích hoạt thông thường do người dùng thực hiện, chẳng hạn như mở tài liệu hoặc nhấp vào liên kết. Thay vào đó, kẻ xấu có thể nhúng mã độc vào siêu dữ liệu hình ảnh được phân phối qua các nền tảng nhắn tin như iMessage. Khi nhận được, các quy trình tự động xử lý hình ảnh của thiết bị sẽ xử lý dữ liệu độc hại, dẫn đến việc xâm nhập thiết bị và nguy cơ đánh cắp thông tin nhạy cảm — bao gồm thông tin ví tiền điện tử, câu phục hồi và mã xác thực trên sàn giao dịch.
Juliano Rizzo, nhà sáng lập công ty an ninh mạng Coinspect, nhấn mạnh rủi ro cao đối với người dùng tài sản kỹ thuật số. Ông khuyên các mục tiêu có giá trị cao nên ngay lập tức thay đổi khóa riêng tư và chuyển tài sản sang ví phần cứng. Đối với người dùng thông thường, Apple khuyến nghị cài đặt ngay các bản cập nhật bảo mật và kiểm tra phiên bản phần mềm đã cài, cảnh báo rằng trì hoãn vá lỗi có thể khiến thiết bị dễ bị tấn công thêm.
Nhà cung cấp phân tích blockchain CertiK nhấn mạnh rằng các lỗ hổng không cần nhấp chuột tương tự đã bị các tác nhân đe dọa quốc gia sử dụng trong các chiến dịch trước đây. Lỗi mới của Apple làm nổi bật nhu cầu nghiên cứu lỗ hổng liên tục và thực hành tiết lộ một cách chủ động. Đây là lỗ hổng zero-day thứ sáu được Apple khắc phục trong năm 2025, đánh dấu kỷ lục về tốc độ phản ứng, phản ánh khả năng ngày càng tăng của các đối thủ trong môi trường thực tế.
Các tổ chức quản lý hoạt động tiền điện tử quy mô lớn được khuyến nghị tiến hành kiểm tra thiết bị kỹ lưỡng, thi hành chính sách cập nhật nghiêm ngặt và cân nhắc các giải pháp phòng chống mối đe dọa di động có thể phát hiện các hành vi bất thường báo hiệu khai thác không cần nhấp chuột. Các nhà phát triển phần mềm trong hệ sinh thái tiền điện tử cũng được khuyên cô lập các quy trình ví và giảm thiểu bề mặt tấn công bằng cách tách các thao tác ký quan trọng ra khỏi mã ứng dụng đa năng.
Với việc phát hành bản vá hiện đã có hiệu lực, Apple khẳng định cam kết nhanh chóng khắc phục lỗ hổng và hợp tác với cộng đồng nghiên cứu bảo mật. Người dùng được hướng dẫn truy cập các kênh hỗ trợ của Apple để nhận chỉ dẫn cập nhật và hướng dẫn thêm về bảo vệ thiết bị cũng như tài sản kỹ thuật số trong bối cảnh mối đe dọa đang phát triển.
Bình luận (0)