2025年8月25日,苹果发布紧急安全更新,以缓解其Image I/O框架中的关键零点击漏洞(CVE-2025-43300)。该漏洞使处理精心制作的图像文件成为可能,这些文件可能触发越界内存写入和任意代码执行,而无需用户互动。此类通常被归类为零点击的漏洞对加密货币持有者尤其危险,因为它可用于入侵钱包应用程序并访问存储在设备上的私钥。
苹果的安全通告指出,有证据显示该漏洞已被用于针对高价值目标的复杂现实攻击。受影响的平台包括iOS 18.6.2、iPadOS 18.6.2和17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8和Ventura 13.7.8。公司通过增强Image I/O库的边界检查来修正允许越界写入的内存处理缺陷。
安全专家警告称,该漏洞的零点击特性消除了典型的用户驱动触发操作,如打开文档或点击链接。相反,恶意行为者可能将有效载荷嵌入通过iMessage等消息平台分发的图像元数据中。设备在接收后,其自动图像渲染程序会处理恶意数据,导致设备被攻破及敏感信息(包括加密货币钱包凭证、恢复短语和交易所身份验证令牌)被盗取。
网络安全公司Coinspect创始人Juliano Rizzo强调数字资产用户面临的升高风险。他建议高价值目标立即更换私钥并将资产迁移至硬件钱包。苹果建议普通用户及时安装安全更新并核实已安装软件版本,警告推迟补丁可能使设备暴露于进一步攻击风险。
区块链分析提供商CertiK指出类似的零点击漏洞曾被国家级威胁行为者在此前的行动中利用。此次苹果漏洞凸显了持续漏洞研究和主动披露的重要性。这是苹果2025年内修复的第六个零日漏洞,显示出野外对抗能力不断增强的趋势。
处理大规模加密货币业务的组织被敦促进行彻底的设备审计,执行严格的更新政策,并考虑采用能够检测零点击漏洞异常行为的移动威胁防御解决方案。加密生态系统的软件开发者也被建议隔离钱包进程,通过将关键签名操作与通用应用代码分离来最小化攻击面。
补丁现已发布,苹果重申其快速缓解漏洞和与安全研究社区合作的承诺。用户可通过苹果支持渠道获取更新指引及有关在不断演变的威胁环境中保障设备和数字资产安全的进一步建议。
评论 (0)