Ką reiškia CVE-2025-43300 ir kodėl tai pavojinga kripto naudotojams?

CVE-2025-43300 yra pažeidžiamumas Apple Image I/O bibliotekoje, leidžiantis nuotolinį kodo vykdymą be vartotojo įsikišimo (zero-click). Tai pavojinga kripto naudotojams, nes užpuolikai gali pasiekti privačius raktus ar pinigines tiesiai iš telefono ar planšetės, o kriptovaliutų sandoriai yra negrįžtami.

Kokius atnaujinimus reikia įdiegti ir kuriems įrenginiams jie taikomi?

Apple išleido iOS 18.6.2, iPadOS 18.6.2 bei macOS Sequoia 15.6.1, Sonoma 14.7.8 ir Ventura 13.7.8 pataisas. Jos taikomos iPhone nuo XS iki iPhone 16, palaikomiems iPad modeliams ir Mac, kuriuose veikia trys naujausios macOS versijos. Rekomenduojama atnaujinti rankiniu būdu.

Kokios yra pirmosios skubios apsaugos priemonės kripto piniginių savininkams?

Įdiekite Apple saugumo pataisas visuose įrenginiuose, perkelkite privačius raktus į hardware wallet (šaltasis saugojimas), iš naujo autentifikuokite svarbias paslaugas, atšaukite leidimus, pakeiskite slaptažodžius ir įjunkite daugiafaktorę autentifikaciją (MFA). Jei įtarėte kompromitaciją, dokumentuokite netikėtą elgesį ir kreipkitės į saugumo specialistus.

Kaip šis incidentas dera į platesnį kripto saugumo kontekstą 2025 m.?

2025 m. kripto sektoriuje fiksuojami dideli nuostoliai dėl įsilaužimų ir sukčiavimų — per pirmąjį pusmetį daugiau nei 2,2 mlrd. USD. Zero-click spragos ir iMessage pažeidžiamumai yra itin vertingi kenkėjams, todėl svarbu derinti technines pataisas su operacinio saugumo praktikomis, tokiomis kaip hardware wallet naudojimas ir dažnas kredencialų keitimas.

Apple skuba pataisyti vaizdais perduodamą zero-click spragą, keliantį pavojų kriptovaliutų piniginėms

6 Minutės

Apple skuba pataisyti vaizdais perduodamą zero-click spragą, keliantį pavojų kriptovaliutų piniginėms

Apple išleido skubų saugumo atnaujinimą, neutralizuojantį zero-click pažeidžiamumą, kuris galėtų leisti užpuolikams kompromituoti iPhone, iPad ir Mac įrenginius — grėsmę, kurią kibernetinio saugumo ekspertai įspėja galinti sukelti neišvengiamus, negrąžinamus nuostolius kriptovaliutų turėtojams. Pažeidžiamumas, pažymėtas kaip CVE-2025-43300, aptiktas Apple Image I/O sistemoje, kuri tvarko vaizdų apdorojimą visuose Apple įrenginiuose.

Ką daro išnaudojimas ir kodėl kripto naudotojams tai svarbu

Apple pranešime nurodoma, kad specialiai paruoštas vaizdo failas gali sukelti atminties sugadinimą Image I/O komponentėje ir leisti nuotolinį kodo vykdymą be jokio vartotojo veiksmo. Tai reiškia, kad paprasčiausiai gavus paveikslėlį — per iMessage, Mail ar kitą programėlę — užpuolikai galėtų vykdyti savavališką kodą pažeidžiamame įrenginyje.

Tokia situacija ypač pavojinga tiems, kurie saugo privačius raktus, piniginės prisijungimus ar biržos duomenis telefone ar planšetėje. Skirtingai nuo bankinių pavedimų, kriptovaliutų sandoriai yra negrįžtami: jei užpuolikai ištuštins piniginę arba gaus prieigą prie biržos paskyros, lėšas dažnai atkurti yra neįmanoma.

Atnaujinimai ir paveikti įrenginiai

Apple išleido skubias pataisas kaip iOS 18.6.2 ir iPadOS 18.6.2, taip pat atnaujino macOS Sequoia 15.6.1, Sonoma 14.7.8 ir Ventura 13.7.8. Bendrovė teigia, kad pataisa padengia iPhone modelius nuo iPhone XS iki iPhone 16 serijos, palaikomus iPad įrenginius, įskaitant iPad Pro, iPad Air (3 kartos ir naujesnius), iPad (6 kartos ir naujesnius) ir iPad mini (5 kartos ir naujesnius), bei Mac kompiuterius, kuriuose veikia trys naujausios macOS versijos.

Apple ragina vartotojus įdiegti pataisą rankiniu būdu, o ne laukti automatinio atnaujinimo, kad būtų išvengta galimo išnaudojimo.

Skubūs veiksmų žingsniai kripto naudotojams

Kibernetinio saugumo profesionalai rekomenduoja, kad visi, veikiantys kripto ekosistemoje, imtųsi neatidėliotinų priemonių:

Rankiniu būdu įdiekite Apple saugumo atnaujinimus visuose jūsų valdomuose iPhone, iPad ir Mac įrenginiuose.
Perkelkite privačius raktus ir seed frazes nuo galimai kompromituotų įrenginių. Apsvarstykite galimybę perkelti pinigines į hardware wallet (šaltasis saugojimas), pvz., sertifikuotą Ledger arba kitą patikimą įrenginį.
Atšaukite programėlių leidimus ir iš naujo autentifikuokite kritines paslaugas, tokias kaip el. paštas, debesų saugyklos ir biržos paskyros. Atstatykite slaptažodžius ir įjunkite stiprius, unikalius prisijungimus bei daugiafaktorę autentifikaciją (MFA), kur įmanoma.
Jei įtariate kompromitavimą, fiksuokite netikėtą sistemos elgesį, tačiau turėkite omenyje, kad įrenginių žurnalus ne specialistui gali būti sunku interpretuoti.

Šie žingsniai sumažina riziką, kad užpuolikai, pasinaudodami vienu kompromituotu įrenginiu, gautų prieigą prie piniginių programėlių, globojamų biržos paskyrų ar debesų sinchronizuotų atsarginių kopijų, kurie galėtų atskleisti privačius raktus — svarbūs aspektai kripto saugumo ir kibernetinio saugumo praktikoje.

Kontekstas: didėjantis atakų į kripto naudotojus sudėtingumas

Apple nurodė, kad gavo pranešimų, leidžiančių manyti, jog šis pažeidžiamumas galėjo būti naudojamas taikytose, itin sudėtingose atakose. Nors bendrovė neatskleidė, kiek žmonių galėjo būti taikinių, saugumo analitikai įspėja, jog kartą tapus pažeidžiamumui vieša žinia, dažnai seka plačiau paplitęs išnaudojimas.

Šios pataisos skubumas primena nesenas kampanijas, nukreiptas prieš kripto turėtojus. 2024 m. Kaspersky aprašė, kaip Šiaurės Korėjos Lazarus grupė naudojo Google Chrome zero-day, paslėptą netikroje blokų grandinės žaidimo versijoje, įdiegiant šnipinėjimo programinę įrangą ir gaunant piniginių prisijungimus, kartais pasitelkiant generatyvią dirbtinį intelektą aukų viliojimui. Tais pačiais metais Trust Wallet įspėjo apie iMessage zero-day išnaudojimą, kuris, kaip teigiama, buvo siūlomas tamsiajame internete už 2 mln. USD — tai parodo, kokia vertinga išpuoliams, siekiantiems skaitmeninio turto, yra zero-click ir iMessage spragos.

Platesnis kripto saugumo vaizdas 2025 metais

Zero-click pataisa pasirodo tuo metu, kai 2025 m. kripto sektoriaus nuostoliai auga. CertiK pranešė, kad per pirmąjį metų pusmetį kriptovaliutų praradimai dėl įsilaužimų ir sukčiavimų viršijo 2,2 mlrd. USD. Dideli incidentai iškreipė sumas — pavyzdžiui, Bybit patyrė 1,5 mlrd. USD pažeidimą, o Cetus Protocol neteko 225 mln. USD — tačiau net ir jų neįtraukus, nuostoliai siekė apie 690 mln. USD. Tik liepos mėnesį 17 didelių pažeidimų sukėlė apie 142 mln. USD nuostolių, tai yra 27,2 % daugiau nei birželį.

Rugpjūčio aukščiausio lygio incidentų tarp jų buvo kaltinimai dėl 48 mln. USD išnaudojimo Turkijos biržoje BtcTurk, kuri laikinai sustabdė karštųjų piniginių įnešimus ir išėmimus, tačiau tęsė fiat operacijas. DeFi ir išmaniųjų sutarčių projektai taip pat išlieka taikiniu: rugpjūčio 8 d. pranešta, kad CrediX Finance dingo po 4,5 mln. USD išnaudojimo, kai buvo panaudota projekto multisig piniginės kontrolė, kad būtų išleisti neuždengti tokenai.

Reketo programos (ransomware) grupuotės dar labiau paaštrina grėsmių vaizdą. Nauja grupė pavadinimu Embargo nuo 2024 m. balandžio išplovė daugiau nei 34 mln. USD kriptovaliuta, tariamai perėmusi veiklą iš žlugusios BlackCat grupuotės ir taikydamasi į JAV sveikatos priežiūros organizacijas su išpirkos reikalavimais, dažnai viršijančiais 1 mln. USD.

Pagrindinės išvados asmenims ir institucijoms

Vertinkite įrenginių saugumą kaip pirmąją gynybos liniją piniginės apsaugai. Net ir sudėtingos on-chain apsaugos gali būti apeitos, jei privačių raktų ar atkūrimo frazių saugumas pažeidžiamas pažeidžiamame įrenginyje.
Visada operatyviai įdiekite saugumo pataisas. Zero-click spragos, tokios kaip CVE-2025-43300, yra itin vertingos užpuolikams, nes jos pašalina socialinės inžinerijos poreikį.
Dideliems turėtojams teikite prioritetą hardware wallet ir offline rakto saugojimui. Kai naudojamos globojamos paslaugos, taikykite griežtą operacinį saugumą, įskaitant skirtus įrenginius, MFA ir dažną kredencialų keitimą.
Stebėkite oficialius platformų tiekėjų (Apple, Google) patarimus ir laikykitės geriausios praktikos iš patikimų saugumo įmonių bei audito paslaugų.

Įdiegę Apple atnaujinimus neatidėliotinai ir peržiūrėję piniginių saugojimo praktikas, kripto naudotojai ir organizacijos gali sumažinti poveikį įrenginiuose veikiančiai šnipinėjimo programinei įrangai ir kitoms pažangioms grėsmėms, kurių tikslas — negrįžtamai pavogti skaitmeninį turtą. Šios priemonės yra būtinos kripto saugumo strategijose ir kibernetinio saugumo politikose.

Šaltinis: cryptonews

Apple skuba pataisyti vaizdais perduodamą zero-click spragą, keliantį pavojų kriptovaliutų piniginėms

Apple skuba pataisyti vaizdais perduodamą zero-click spragą, keliantį pavojų kriptovaliutų piniginėms

Ką daro išnaudojimas ir kodėl kripto naudotojams tai svarbu

Atnaujinimai ir paveikti įrenginiai

Skubūs veiksmų žingsniai kripto naudotojams

Kontekstas: didėjantis atakų į kripto naudotojus sudėtingumas

Platesnis kripto saugumo vaizdas 2025 metais

Pagrindinės išvados asmenims ir institucijoms

Palikite komentarą

Komentarai

Susijusios straipsniai

Willy Woo: verslo ciklas gali sukelti kripto meškų rinką

Bitcoin traukiasi: CME ateities gapas ir palaikymas analizė

Coinbase moka 25 mln. USDC už UpOnly podcasto NFT pirkinį

Baltieji rūmai: galimas uždarymo pabaigos signalas

XRP kaina krenta link svarbaus palaikymo lygio 2025

Bitcoin atgimimas: BTC viršija 110 000 USD horizontą

Solana stabilizuojasi prie svarbaus 175 USD palaikymo

XRP šalia 2,50 USD: ETF, SPAC ir techninė analizė 2025

Bitcoin išlaiko kritinį palaikymą — ar artėja ralio?

NFT rinka auga — pardavimai kyla nepaisant nuosmukio

Privatūs stablecoin'ai: kada jie imituoja CBDC riziką

BitMine perka 1,5 mlrd. USD Ether po kritimo