A Apple lançou o iOS 18.6.2 e o iPadOS 18.6.2, juntamente com o macOS Sequoia 15.6.1, o Sonoma 14.7.8 e o Ventura 13.7.8, para corrigir uma vulnerabilidade zero-day no framework ImageIO que vem sendo explorada ativamente no mundo real.
De acordo com a Apple, processar uma imagem maliciosa pode corromper a memória, permitindo a execução de código, e a empresa tem conhecimento de relatos de uso em um ataque extremamente sofisticado visando indivíduos específicos.
A falha está no ImageIO, o componente que analisa formatos comuns de imagem, o que facilita a entrega por canais do dia a dia, incluindo apps de mensagens e conteúdo web. Conforme outlets de segurança relataram, o bug é identificado como CVE-2025-43300 e decorre de uma escrita fora dos limites, resolvida pela Apple com checagens de limites mais rigorosas.
A abordagem cripto é direta. Os donos de carteiras costumam copiar e colar endereços de destino, e muitos armazenam frases de recuperação em capturas de tela ou no armazenamento de fotos para conveniência. Pesquisas deste ano documentaram famílias de spyware móvel e stealer que varrem galerias usando OCR e exfiltram imagens com frases de recuperação, além de variantes que monitoram a área de transferência para trocar endereços durante uma transação.
Conforme relatado pela Kaspersky, o SparkCat e seu sucessor SparkKitty usaram OCR para extrair frases de recuperação de fotos em iOS e Android, incluindo amostras observadas em lojas oficiais de apps.
Uma falha obtida por meio de uma imagem comprometida pode, portanto, atuar como ponto de apoio inicial para permitir a varredura de galerias em busca de frases de recuperação, vigilância da atividade de apps de cripto e interceptação da área de transferência durante transferências on-chain. Pesquisas anteriores sobre hijackers de área de transferência explicam como strings de endereços são silenciosamente substituídas para redirecionar fundos durante copiar e colar.
O incidente atual também se encaixa em um padrão de cadeias de exploração de alto valor no iOS usadas contra usuários-alvo. Em 2023, o Citizen Lab documentou uma cadeia de zero-click, apelidada de Blastpass, usada para entregar spyware comercial, demonstrando como bugs de parsing de imagem e mensagens podem estar ligados para tomada de controle do dispositivo sem interação do usuário.
Essa linha de base histórica, aliada ao reconhecimento da Apple sobre uso no mundo real no caso em questão, enquadra o risco para usuários de cripto que dependem de dispositivos móveis como pontos finais de assinatura primários.
O impacto abrange modelos de iPhone recentes e iPads com iOS 18 e iPadOS 18, incluindo iPhone XS e posteriores, além de Macs compatíveis com Sequoia, Sonoma e Ventura. Os usuários podem verificar a proteção confirmando as versões iOS ou iPadOS 18.6.2, macOS Sequoia 15.6.1, Sonoma 14.7.8 ou Ventura 13.7.8 nas Configurações, reiniciando após a instalação.
Fontes de segurança recomendaram atualizações imediatas após o lançamento e divulgação pela Apple.
Para um público antenado em cripto, a conclusão operacional é reduzir a exposição atualizando o sistema e diminuir o raio de ação pós-exploração movendo o armazenamento de sementes para além das bibliotecas de fotos, revisando permissões de fotos dos apps, limitando o acesso à área de transferência e tratando as carteiras móveis como ambientes de alto risco, com higiene rigorosa.
As notas da Apple indicam que a causa raiz foi uma escrita fora dos limites no ImageIO, que já foi mitigada com verificações de limites mais rigorosas, e a empresa confirmou relatos de exploração ao lançar o patch.
A postagem Apple corrige zero-day do iOS que coloca carteiras de criptomoedas em risco por imagens maliciosas apareceu pela primeira vez no CryptoSlate.
