2025年8月25日,蘋果發布緊急安全更新,以緩解其Image I/O框架中的一個關鍵零點擊漏洞(CVE-2025-43300)。該漏洞允許處理經過精心製作的圖像文件,可能觸發越界內存寫入和任意代碼執行,且無需用戶互動。這種類型的利用,通常稱為零點擊,對加密貨幣持有人尤為危險,因為它可用於攻破錢包應用程序並訪問存儲在設備上的私鑰。
蘋果的公告指出有證據顯示該漏洞已在針對高價值目標的複雜現實攻擊中被利用。受影響的平台包括iOS 18.6.2、iPadOS 18.6.2及17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8和Ventura 13.7.8。該公司加強了Image I/O庫中的邊界檢查,以修正允許越界寫入的內存處理缺陷。
安全專家警告稱,此漏洞的零點擊特性消除了典型用戶觸發行為,例如打開文檔或點擊鏈接。相反,惡意者可將有效負載嵌入通過如iMessage等消息平台分發的圖像元數據中。設備收到後,其自動圖像渲染流程會處理惡意數據,導致設備被攻破及敏感信息被盜,包括加密貨幣錢包憑證、恢復短語及交易所身份驗證令牌。
網絡安全公司Coinspect創始人Juliano Rizzo強調數字資產用戶面臨的高度風險。他建議高價值目標立即更換私鑰並將資產遷移至硬件錢包。對普通用戶,蘋果建議及時安裝安全更新並核實軟件版本,警告延遲補丁可能使設備暴露於進一步攻擊。
區塊鏈分析供應商CertiK指出,類似的零點擊漏洞先前已被國家級威脅行動者利用。此次蘋果漏洞凸顯持續漏洞研究和主動披露的重要性。這是蘋果2025年處理的第六個零日漏洞,創下新紀錄,反映出惡意能力的不斷增強。
處理大規模加密貨幣業務的組織被敦促開展全面設備審計、執行嚴格更新政策,並考慮採用可檢測零點擊異常行為的移動威脅防禦解決方案。加密生態系統中的軟件開發者亦被建議將錢包進程隔離,通過將關鍵簽名操作與通用應用代碼分離以最小化攻擊面。
隨著補丁現已推出,蘋果重申快速緩解漏洞和與安全研究社群合作的承諾。用戶可通過蘋果支持渠道獲取更新指引及進一步保護設備和數字資產的指導,以應對不斷變化的威脅環境。
評論 (0)