2025年8月25日,Apple發布緊急安全更新,以修復其Image I/O框架中的關鍵零點擊漏洞(CVE-2025-43300)。該漏洞允許處理精心製作的圖像文件,可能觸發越界記憶體寫入和任意代碼執行,且無需用戶互動。此類零點擊漏洞對加密貨幣持有者特別危險,因為它可用於入侵錢包應用並訪問存儲在設備上的私鑰。
Apple的公告指出已有證據顯示該漏洞被用於針對高價值目標的複雜實際攻擊中。受影響的平台包括iOS 18.6.2、iPadOS 18.6.2和17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8及Ventura 13.7.8。公司加強了Image I/O庫中的邊界檢查,以修正允許越界寫入的記憶體處理缺陷。
安全專家警告該漏洞零點擊特性意味著無需用戶主動觸發,如開啟文件或點擊連結。惡意行為者可將有效載荷嵌入圖像元數據,通過iMessage等訊息平台傳播。設備一旦接收,會自動渲染圖像程序便會處理這些惡意數據,導致設備被攻破,敏感信息可能被盜取,包括加密貨幣錢包憑證、恢復短語及交易所認證令牌。
網路安全公司Coinspect創始人Juliano Rizzo強調數位資產用戶面臨的高風險,建議高價值目標立即更換私鑰並將資產遷移至硬體錢包。對一般用戶,Apple建議儘速安裝安全更新並核對安裝軟體版本,警告延遲修補可能使設備暴露於更大攻擊風險。
區塊鏈分析提供商CertiK指出,類似零點擊漏洞過去已被國家級威脅行動者利用。此次Apple漏洞凸顯持續漏洞研究及積極揭露的重要性。這是Apple在2025年處理的第六個零日漏洞,反映出敵對力量在野外能力的增強。
處理大規模加密貨幣業務的組織被敦促進行全面裝置審核、執行嚴格更新政策,並考慮部署能偵測零點擊漏洞異常行為的行動威脅防禦解決方案。加密生態系的軟體開發者亦應隔離錢包進程,通過將關鍵簽名操作與通用應用程式代碼解耦,降低攻擊面。
隨著修補程式已經推出,Apple重申其致力於快速漏洞緩解及與安全研究社群合作。用戶可透過Apple支援管道獲得更新指導及在不斷演化的威脅環境中保護設備與數位資產的進一步建議。
評論 (0)