Cập nhật phi thường cho iOS, iPadOS và macOS: một lỗ hổng trong ImageIO cho phép thực thi mã từ xa chỉ bằng cách xử lý một hình ảnh.
Apple đã phát hành iOS/iPadOS 18.6.2 và cập nhật cho macOS, xác nhận các lỗ hổng đang tồn tại. Tác động đến bảo mật người dùng là đáng kể, đặc biệt đối với những người quản lý ví tiền điện tử.
Các nhà phân tích trong ngành mà chúng tôi hợp tác quan sát rằng việc giải mã các lỗ hổng như trong ImageIO thường được sử dụng trong các chiến dịch nhắm vào người dùng có giá trị cao ( chẳng hạn như, các nhà điều hành danh mục, nhà báo, quản lý ).
Theo dữ liệu thu thập từ các nguồn an ninh chính thức và các báo cáo kỹ thuật được cập nhật tính đến ngày 25 tháng 8 năm 2025, thông tin công khai vẫn còn hạn chế và các IOC hoàn chỉnh chưa được công bố.
Những gì chúng ta biết cho đến nay (gần đây)
Lỗ hổng, được liệt kê là CVE‑2025‑43300, ảnh hưởng đến framework ImageIO, framework này xử lý việc giải mã nhiều định dạng đồ họa trên iPhone, iPad và Mac.
Trong thông báo bảo mật cho iOS/iPadOS 18.6.2 ( được phát hành vào ngày 21 tháng 8 năm 2025), Apple chỉ ra rằng lỗ hổng đã được sửa chữa và rằng "họ biết về các báo cáo về các cuộc tấn công đang hoạt động".
Một phân tích độc lập của Qualys đã công bố những chi tiết kỹ thuật đầu tiên vào ngày 21 tháng 8 năm 2025, đánh giá mức độ nghiêm trọng là cao. Một khía cạnh thú vị là độ rộng của bề mặt tấn công.
Tóm lại: các bản cập nhật sửa lỗi đã được phát hành vào ngày 21 tháng 8 năm 2025; các cuộc điều tra vẫn đang tiếp tục và chuỗi khai thác có thể được khởi tạo bằng cách phân tích một tệp hình ảnh trong các tình huống không cần nhấp chuột hoặc gần như không cần nhấp chuột.
Cách thức hoạt động của cuộc tấn công
Lỗi là một loại ghi vượt ngoài giới hạn trong ImageIO. Một hình ảnh được chế tạo đặc biệt có thể làm hỏng bộ nhớ và bị khai thác để thực thi mã tùy ý với quyền hạn của quá trình xử lý nó. Vector chính xác chưa được mô tả công khai, nhưng các bề mặt có khả năng xảy ra nhất bao gồm:
xem trước và giải mã tự động hình ảnh trong iMessage và các ứng dụng nhắn tin khác;
kết xuất hình ảnh trong Safari và trong engine WebKit;
xem trước tệp (Xem Nhanh), Thư viện ảnh và thông báo với nội dung đa phương tiện.
Điều này khiến cuộc tấn công có khả năng không cần tương tác, một sự kết hợp hiếm có và, phải nói rằng, nguy hiểm trên các nền tảng di động.
Tại sao ví crypto đặc biệt dễ bị tổn thương
Các kẻ tấn công thường tập trung vào hành vi của người dùng. Hình chụp màn hình của cụm từ hạt giống, khóa riêng hoặc mã QR được lưu trong cuộn camera có thể bị trích xuất bằng các công cụ OCR và nhận diện.
Nếu lỗ hổng cho phép truy cập vào dữ liệu cục bộ hoặc vượt qua quyền truy cập, việc chuyển đổi từ thiết bị sang quỹ có thể rất nhanh chóng. Trong bối cảnh này, các yếu tố làm tăng rủi ro bao gồm:
lưu trữ các cụm từ phục hồi trong ảnh hoặc ghi chú có hình ảnh;
ứng dụng với quyền truy cập mở rộng vào thư viện;
khay nhớ giữ khóa và hạt lâu hơn cần thiết.
Dữ liệu kỹ thuật tóm tắt
CVE: CVE‑2025‑43300
Thành phần: ImageIO (giải mã hình ảnh)
Loại lỗi: ghi ngoài giới hạn (hỏng bộ nhớ)
Tác động: thực thi mã tùy ý có thể không cần tương tác
Các nền tảng liên quan: iOS, iPadOS, macOS
Các phiên bản chính xác: iOS/iPadOS 18.6.2; các bản cập nhật cho macOS trong phân phối (Apple Support)
Tình trạng khai thác: đã bị khai thác trong các cuộc tấn công nhắm mục tiêu ( được Apple xác nhận trong thông báo ngày 21 tháng 8 năm 2025)
Tính quan trọng: cao theo phân tích của Qualys ( được công bố vào ngày 21 tháng 8 năm 2025)
Cách để hiểu nếu bạn đã bị đánh
Hiện tại, không có chỉ số công khai cụ thể nào về Indicators of Compromise (IOC) cho CVE‑2025‑43300. Tuy nhiên, một số tín hiệu và kiểm tra thận trọng bao gồm:
các sự cố bất thường hoặc lặp lại của các quy trình Tin nhắn, Safari, Ảnh hoặc xem trước;
yêu cầu truy cập vào Ảnh từ các ứng dụng mà thông thường không cần thiết phải có chúng;
hoạt động mạng bất thường từ các ứng dụng gallery hoặc nhắn tin khi chúng không hoạt động;
sự hiện diện của các hồ sơ cấu hình không xác định trong Cài đặt > Chung > VPN và quản lý thiết bị;
kiểm tra nhật ký chẩn đoán trong Cài đặt > Quyền riêng tư và bảo mật > Phân tích và cải tiến > Dữ liệu phân tích, tìm kiếm các sự cố liên quan đến ImageIO.
Trong trường hợp không có IOC công khai, ưu tiên vẫn là cài đặt các bản cập nhật và giảm thiểu sự lộ lọt của dữ liệu nhạy cảm. Cần phải nói rằng những manh mối cô lập không đủ để xác nhận một vụ xâm phạm.
Các Biện Pháp Ưu Tiên (5 Các Hành Động Cần Thiết)
Cài đặt các bản cập nhật bảo mật: Apple chỉ ra rằng iOS/iPadOS 18.6.2 và các bản cập nhật cho macOS là các bản phát hành sửa lỗi cho CVE‑2025‑43300. Xem hướng dẫn thực tế để cập nhật thiết bị: Cách cập nhật iOS/iPadOS.
Giới hạn quyền truy cập vào Ảnh: chỉ cấp quyền truy cập "Ảnh đã chọn" cho các ứng dụng và thu hồi các quyền không cần thiết.
Xóa hạt giống và khóa khỏi hình ảnh: xóa ảnh chụp màn hình của cụm từ phục hồi, khóa, hoặc mã QR khỏi thư viện ảnh; tốt nhất là sử dụng các hỗ trợ hoặc giải pháp ngoại tuyến được ghi lại trong hướng dẫn của chúng tôi về lưu trữ lạnh (Ví lạnh: hướng dẫn thực tiễn).
Sử dụng lưu trữ lạnh cho số lượng lớn: giữ khóa riêng ngoại tuyến giảm thiểu tác động của sự xâm phạm tiềm tàng.
Quản lý clipboard: tránh sao chép seed/khóa, thường xuyên xóa clipboard và tắt dán toàn cầu nếu không cần thiết.
Bối cảnh và tác động đối với người dùng Apple
Trong những tháng gần đây, một số lỗ hổng zero-day đã được khắc phục trên iOS và macOS. Ngay cả khi bản sửa lỗi đến nhanh chóng, thời gian phân phối và cài đặt cũng mở ra một khoảng thời gian rủi ro.
Đối với những người bảo vệ tài sản kỹ thuật số, cách tiếp cận khôn ngoan nhất là kết hợp các bản cập nhật kịp thời với thực hành giảm thiểu dữ liệu và phân tách chìa khóa. Trong bối cảnh này, quản lý quyền truy cập vẫn giữ vai trò trung tâm.
Câu hỏi thường gặp nhanh
Khi nào thì thuận tiện để cài đặt bản cập nhật?
Ngay khi có sẵn cho thiết bị của bạn. Apple báo cáo các lỗ hổng đang hoạt động ( thông báo vào ngày 21 tháng 8 năm 2025), vì vậy bản vá nằm trong các ưu tiên bảo mật hiện tại.
Cập nhật có đủ để bảo vệ các ví không?
Giảm đáng kể rủi ro liên quan đến CVE‑2025‑43300, nhưng việc bảo vệ quỹ cũng yêu cầu xóa seed/khóa khỏi cuộn camera, quyền truy cập ứng dụng nghiêm ngặt hơn và, đối với các khoản lớn, sử dụng ví lạnh.
Những thiết bị nào bị ảnh hưởng?
Tất cả các thiết bị Apple xử lý hình ảnh qua ImageIO: iPhone và iPad (iOS/iPadOS) và Mac (macOS). Kiểm tra trong Cài đặt > Cập nhật phần mềm để biết phiên bản mới nhất.
Nguồn và thông tin
Apple – Nội dung bảo mật của iOS 18.6.2 và iPadOS 18.6.2 (thông báo ngày 21 tháng 8 năm 2025; ghi chú về việc khai thác trong tự nhiên)
Qualys ThreatPROTECT – Phân tích kỹ thuật của CVE‑2025‑43300 ( được công bố vào ngày 21 tháng 8 năm 2025)
Ghi chú biên tập: hiện tại, bản tin của Apple không công khai hiển thị điểm số CVSS chính thức cũng như các số phiên bản macOS cụ thể cho tất cả các biến thể; các IOC chi tiết hoặc tên của các nhà nghiên cứu đã báo cáo lỗi chưa được công bố. Chúng tôi sẽ cập nhật phần này ngay khi có các tài liệu chính thức mới ( lần kiểm tra nội dung cuối: 25 tháng 8, 2025).
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Apple sửa lỗi zero-day ImageIO (CVE-2025-43300): thực thi mã từ hình ảnh, cảnh báo cho crypto w...
Cập nhật phi thường cho iOS, iPadOS và macOS: một lỗ hổng trong ImageIO cho phép thực thi mã từ xa chỉ bằng cách xử lý một hình ảnh.
Apple đã phát hành iOS/iPadOS 18.6.2 và cập nhật cho macOS, xác nhận các lỗ hổng đang tồn tại. Tác động đến bảo mật người dùng là đáng kể, đặc biệt đối với những người quản lý ví tiền điện tử.
Các nhà phân tích trong ngành mà chúng tôi hợp tác quan sát rằng việc giải mã các lỗ hổng như trong ImageIO thường được sử dụng trong các chiến dịch nhắm vào người dùng có giá trị cao ( chẳng hạn như, các nhà điều hành danh mục, nhà báo, quản lý ).
Theo dữ liệu thu thập từ các nguồn an ninh chính thức và các báo cáo kỹ thuật được cập nhật tính đến ngày 25 tháng 8 năm 2025, thông tin công khai vẫn còn hạn chế và các IOC hoàn chỉnh chưa được công bố.
Những gì chúng ta biết cho đến nay (gần đây)
Lỗ hổng, được liệt kê là CVE‑2025‑43300, ảnh hưởng đến framework ImageIO, framework này xử lý việc giải mã nhiều định dạng đồ họa trên iPhone, iPad và Mac.
Trong thông báo bảo mật cho iOS/iPadOS 18.6.2 ( được phát hành vào ngày 21 tháng 8 năm 2025), Apple chỉ ra rằng lỗ hổng đã được sửa chữa và rằng "họ biết về các báo cáo về các cuộc tấn công đang hoạt động".
Một phân tích độc lập của Qualys đã công bố những chi tiết kỹ thuật đầu tiên vào ngày 21 tháng 8 năm 2025, đánh giá mức độ nghiêm trọng là cao. Một khía cạnh thú vị là độ rộng của bề mặt tấn công.
Tóm lại: các bản cập nhật sửa lỗi đã được phát hành vào ngày 21 tháng 8 năm 2025; các cuộc điều tra vẫn đang tiếp tục và chuỗi khai thác có thể được khởi tạo bằng cách phân tích một tệp hình ảnh trong các tình huống không cần nhấp chuột hoặc gần như không cần nhấp chuột.
Cách thức hoạt động của cuộc tấn công
Lỗi là một loại ghi vượt ngoài giới hạn trong ImageIO. Một hình ảnh được chế tạo đặc biệt có thể làm hỏng bộ nhớ và bị khai thác để thực thi mã tùy ý với quyền hạn của quá trình xử lý nó. Vector chính xác chưa được mô tả công khai, nhưng các bề mặt có khả năng xảy ra nhất bao gồm:
xem trước và giải mã tự động hình ảnh trong iMessage và các ứng dụng nhắn tin khác;
kết xuất hình ảnh trong Safari và trong engine WebKit;
xem trước tệp (Xem Nhanh), Thư viện ảnh và thông báo với nội dung đa phương tiện.
Điều này khiến cuộc tấn công có khả năng không cần tương tác, một sự kết hợp hiếm có và, phải nói rằng, nguy hiểm trên các nền tảng di động.
Tại sao ví crypto đặc biệt dễ bị tổn thương
Các kẻ tấn công thường tập trung vào hành vi của người dùng. Hình chụp màn hình của cụm từ hạt giống, khóa riêng hoặc mã QR được lưu trong cuộn camera có thể bị trích xuất bằng các công cụ OCR và nhận diện.
Nếu lỗ hổng cho phép truy cập vào dữ liệu cục bộ hoặc vượt qua quyền truy cập, việc chuyển đổi từ thiết bị sang quỹ có thể rất nhanh chóng. Trong bối cảnh này, các yếu tố làm tăng rủi ro bao gồm:
lưu trữ các cụm từ phục hồi trong ảnh hoặc ghi chú có hình ảnh;
ứng dụng với quyền truy cập mở rộng vào thư viện;
khay nhớ giữ khóa và hạt lâu hơn cần thiết.
Dữ liệu kỹ thuật tóm tắt
CVE: CVE‑2025‑43300
Thành phần: ImageIO (giải mã hình ảnh)
Loại lỗi: ghi ngoài giới hạn (hỏng bộ nhớ)
Tác động: thực thi mã tùy ý có thể không cần tương tác
Các nền tảng liên quan: iOS, iPadOS, macOS
Các phiên bản chính xác: iOS/iPadOS 18.6.2; các bản cập nhật cho macOS trong phân phối (Apple Support)
Tình trạng khai thác: đã bị khai thác trong các cuộc tấn công nhắm mục tiêu ( được Apple xác nhận trong thông báo ngày 21 tháng 8 năm 2025)
Tính quan trọng: cao theo phân tích của Qualys ( được công bố vào ngày 21 tháng 8 năm 2025)
Cách để hiểu nếu bạn đã bị đánh
Hiện tại, không có chỉ số công khai cụ thể nào về Indicators of Compromise (IOC) cho CVE‑2025‑43300. Tuy nhiên, một số tín hiệu và kiểm tra thận trọng bao gồm:
các sự cố bất thường hoặc lặp lại của các quy trình Tin nhắn, Safari, Ảnh hoặc xem trước;
yêu cầu truy cập vào Ảnh từ các ứng dụng mà thông thường không cần thiết phải có chúng;
hoạt động mạng bất thường từ các ứng dụng gallery hoặc nhắn tin khi chúng không hoạt động;
sự hiện diện của các hồ sơ cấu hình không xác định trong Cài đặt > Chung > VPN và quản lý thiết bị;
kiểm tra nhật ký chẩn đoán trong Cài đặt > Quyền riêng tư và bảo mật > Phân tích và cải tiến > Dữ liệu phân tích, tìm kiếm các sự cố liên quan đến ImageIO.
Trong trường hợp không có IOC công khai, ưu tiên vẫn là cài đặt các bản cập nhật và giảm thiểu sự lộ lọt của dữ liệu nhạy cảm. Cần phải nói rằng những manh mối cô lập không đủ để xác nhận một vụ xâm phạm.
Các Biện Pháp Ưu Tiên (5 Các Hành Động Cần Thiết)
Cài đặt các bản cập nhật bảo mật: Apple chỉ ra rằng iOS/iPadOS 18.6.2 và các bản cập nhật cho macOS là các bản phát hành sửa lỗi cho CVE‑2025‑43300. Xem hướng dẫn thực tế để cập nhật thiết bị: Cách cập nhật iOS/iPadOS.
Giới hạn quyền truy cập vào Ảnh: chỉ cấp quyền truy cập "Ảnh đã chọn" cho các ứng dụng và thu hồi các quyền không cần thiết.
Xóa hạt giống và khóa khỏi hình ảnh: xóa ảnh chụp màn hình của cụm từ phục hồi, khóa, hoặc mã QR khỏi thư viện ảnh; tốt nhất là sử dụng các hỗ trợ hoặc giải pháp ngoại tuyến được ghi lại trong hướng dẫn của chúng tôi về lưu trữ lạnh (Ví lạnh: hướng dẫn thực tiễn).
Sử dụng lưu trữ lạnh cho số lượng lớn: giữ khóa riêng ngoại tuyến giảm thiểu tác động của sự xâm phạm tiềm tàng.
Quản lý clipboard: tránh sao chép seed/khóa, thường xuyên xóa clipboard và tắt dán toàn cầu nếu không cần thiết.
Bối cảnh và tác động đối với người dùng Apple
Trong những tháng gần đây, một số lỗ hổng zero-day đã được khắc phục trên iOS và macOS. Ngay cả khi bản sửa lỗi đến nhanh chóng, thời gian phân phối và cài đặt cũng mở ra một khoảng thời gian rủi ro.
Đối với những người bảo vệ tài sản kỹ thuật số, cách tiếp cận khôn ngoan nhất là kết hợp các bản cập nhật kịp thời với thực hành giảm thiểu dữ liệu và phân tách chìa khóa. Trong bối cảnh này, quản lý quyền truy cập vẫn giữ vai trò trung tâm.
Câu hỏi thường gặp nhanh
Khi nào thì thuận tiện để cài đặt bản cập nhật?
Ngay khi có sẵn cho thiết bị của bạn. Apple báo cáo các lỗ hổng đang hoạt động ( thông báo vào ngày 21 tháng 8 năm 2025), vì vậy bản vá nằm trong các ưu tiên bảo mật hiện tại.
Cập nhật có đủ để bảo vệ các ví không?
Giảm đáng kể rủi ro liên quan đến CVE‑2025‑43300, nhưng việc bảo vệ quỹ cũng yêu cầu xóa seed/khóa khỏi cuộn camera, quyền truy cập ứng dụng nghiêm ngặt hơn và, đối với các khoản lớn, sử dụng ví lạnh.
Những thiết bị nào bị ảnh hưởng?
Tất cả các thiết bị Apple xử lý hình ảnh qua ImageIO: iPhone và iPad (iOS/iPadOS) và Mac (macOS). Kiểm tra trong Cài đặt > Cập nhật phần mềm để biết phiên bản mới nhất.
Nguồn và thông tin
Apple – Nội dung bảo mật của iOS 18.6.2 và iPadOS 18.6.2 (thông báo ngày 21 tháng 8 năm 2025; ghi chú về việc khai thác trong tự nhiên)
Qualys ThreatPROTECT – Phân tích kỹ thuật của CVE‑2025‑43300 ( được công bố vào ngày 21 tháng 8 năm 2025)
NVD (Cơ sở dữ liệu lỗ hổng quốc gia) – CVE‑2025‑43300
MITRE – CVE‑2025‑43300
Ghi chú biên tập: hiện tại, bản tin của Apple không công khai hiển thị điểm số CVSS chính thức cũng như các số phiên bản macOS cụ thể cho tất cả các biến thể; các IOC chi tiết hoặc tên của các nhà nghiên cứu đã báo cáo lỗi chưa được công bố. Chúng tôi sẽ cập nhật phần này ngay khi có các tài liệu chính thức mới ( lần kiểm tra nội dung cuối: 25 tháng 8, 2025).