2025年8月25日,蘋果緊急發布安全更新,以緩解其Image I/O框架中的一個關鍵零點擊漏洞(CVE-2025-43300)。該漏洞允許處理精心製作的圖像文件,可能觸發越界寫入記憶體及任意代碼執行,且不需用戶互動。這種類型的漏洞,通常被歸類為零點擊,對加密貨幣持有者尤其危險,因為它可用於攻擊錢包應用程式並訪問設備中存儲的私鑰。
蘋果在公告中指出,有證據顯示該漏洞已被用於針對高價值目標的複雜實際攻擊。受影響的平台包括iOS 18.6.2、iPadOS 18.6.2和17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8及Ventura 13.7.8。公司加強了Image I/O庫中的邊界檢查,以修正導致越界寫入的記憶體處理缺陷。
安全專家警告,該漏洞的零點擊特性消除了普通用戶觸發的行為,如打開文件或點擊鏈接。相反,惡意攻擊者可以將有效負載嵌入圖片的元數據中,通過iMessage等通訊平台傳播。設備在接收後的自動圖片渲染過程中將處理惡意數據,導致設備遭到入侵,並可能造成敏感資訊的竊取——包括加密貨幣錢包憑證、恢復短語和交易所認證令牌。
網絡安全公司Coinspect創辦人Juliano Rizzo強調了數字資產用戶面臨的高風險。他建議高價值目標立即更換私鑰並將資產遷移至硬體錢包。對於一般用戶,蘋果建議儘快安裝安全更新並核對軟體版本,警告拖延修補將使設備暴露於更多攻擊中。
區塊鏈分析供應商CertiK指出,以前同類零點擊漏洞已被國家級威脅行為者利用。此次蘋果漏洞凸顯了持續漏洞研究和主動披露的重要性。這是蘋果2025年第六個修補的零日漏洞,創下新高,反映了野外敵對勢力實力的提升。
負責大規模加密貨幣運營的組織被敦促進行全面設備審核,執行嚴格更新政策,並考慮部署能檢測異常行為的行動威脅防護解決方案,以防範零點擊漏洞攻擊。加密生態系統中的軟體開發者亦應隔離錢包程序,通過將關鍵簽名操作與通用應用程序代碼分離,最大限度縮小攻擊面。
隨著補丁發布,蘋果重申其對快速漏洞緩解及與安全研究社群合作的承諾。用戶可參考蘋果支援渠道獲取更新指南,及時保護設備與數字資產,應對不斷演變的威脅環境。
評論 (0)