于2025年8月25日,苹果发布紧急安全更新,以缓解其Image I/O框架中的关键零点击漏洞(CVE-2025-43300)。该漏洞允许处理特制图像文件,可能触发越界内存写入和任意代码执行,无需用户交互。此类漏洞通常被归类为零点击,对加密货币持有者尤其危险,因为它可用于入侵钱包应用程序并访问设备上存储的私钥。
苹果的通告指出,有证据显示该漏洞已被用于针对高价值目标的复杂现实攻击。受影响的平台包括iOS 18.6.2、iPadOS 18.6.2及17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8和Ventura 13.7.8。公司在Image I/O库中加强了边界检查,以纠正允许越界写入的内存处理缺陷。
安全专家警告称,该漏洞的零点击特性消除了用户通常触发的操作,如打开文档或点击链接。相反,恶意行为者可通过iMessage等消息平台在图像元数据中嵌入有效载荷。设备收到后,会自动渲染图像并处理恶意数据,导致设备被攻破并可能窃取敏感信息,包括加密货币钱包凭证、恢复短语和交易认证令牌。
网络安全公司Coinspect创始人Juliano Rizzo强调了数字资产用户面临的高风险。他建议高价值目标立即更换私钥并迁移资产至硬件钱包。对于普通用户,苹果建议尽快安装安全更新并核实软件版本,警告延迟补丁将使设备暴露于进一步攻击风险。
区块链分析提供商CertiK指出,类似的零点击漏洞此前已被国家级威胁行为者在多个活动中利用。此次苹果漏洞凸显了持续漏洞研究和主动披露的重要性。这是苹果在2025年应对的第六个零日漏洞,刷新了记录,反映出野外对抗能力的提升。
处理大规模加密货币业务的组织被敦促进行彻底设备审计,执行严格的更新策略,并考虑采用能检测零点击漏洞异常行为的移动威胁防御解决方案。加密生态系统的软件开发者也被建议隔离钱包进程,通过将关键签名操作与通用应用代码分离,最小化攻击面。
随着补丁发布,苹果重申其快速缓解漏洞和与安全研究社区协作的承诺。用户可通过苹果支持渠道获取更新指引及关于在不断演变的威胁环境中保护设备和数字资产的更多建议。
评论 (0)