2025年8月25日,蘋果緊急發布安全更新,以緩解其Image I/O框架中的一個嚴重零點擊漏洞(CVE-2025-43300)。該漏洞允許處理特製影像文件,可能觸發越界內存寫入和任意代碼執行,且無需用戶互動。這種類型的漏洞,通常被歸類為零點擊,對加密貨幣持有者尤其危險,因為它可用於攻擊錢包應用程序並訪問儲存在設備上的私鑰。
蘋果的公告指出,已有證據顯示該漏洞被用於針對高價值目標的複雜現實攻擊。受影響平臺包括iOS 18.6.2、iPadOS 18.6.2和17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8和Ventura 13.7.8。蘋果加強了Image I/O庫的邊界檢查,修正了允許越界寫入的內存處理缺陷。
安全專家警告說,該漏洞的零點擊特性消除了用戶驅動的典型觸發條件,例如打開文件或點擊鏈接。相反,惡意行為者可以將載荷嵌入消息平台如iMessage分發的影像元數據中。設備接收後,自動影像渲染程序將處理惡意數據,導致設備被攻破,並可能竊取敏感資訊——包括加密貨幣錢包憑證、恢復短語和交易所身份驗證令牌。
資安公司Coinspect創辦人Juliano Rizzo強調,此漏洞對數字資產用戶的風險升高。他建議高價值目標立即更換私鑰,並將持有的資產轉移至硬件錢包。對於一般用戶,蘋果建議儘速安裝安全更新並確認軟件版本,警告延遲打補丁可能令設備暴露於更多攻擊中。
區塊鏈分析供應商CertiK指出,類似的零點擊漏洞曾被國家級威脅行為者用於過往攻擊活動。這次蘋果的新漏洞突顯持續漏洞研究和積極漏洞披露的重要性。同時也標誌著蘋果在2025年第六次修補零日漏洞,創下記錄,反映出野外攻擊者能力日益增強。
從事大規模加密貨幣業務的組織被敦促進行全面設備審核,嚴格執行更新政策,並考慮採用可偵測零點擊異常行為的移動威脅防禦方案。加密生態系的軟件開發者也被建議隔離錢包流程,並通過將關鍵簽名操作與通用應用代碼分離,以減少攻擊面。
隨著補丁現已推出,蘋果重申其快速緩解漏洞及與資安研究社群合作的承諾。用戶可前往蘋果支援渠道獲取更新指導及在不斷演變的威脅環境中保障設備和數字資產安全的進一步建議。
評論 (0)