0day脆弱性

ChainCatcher のメッセージ、OneKey の創設者 Yishi が X プラットフォームで警告を発表し、ユーザーに iOS と macOS を最新バージョンにアップデートすることを強く推奨しています。Apple に野外の 0day 高危険脆弱性が発生しており、これは PoC ではなく、誰かがこれを利用して CVE-2025-43300 を攻撃しています。脆弱性の原理は、ユーザーに特製の画像を送信することで、ユーザーのデバイスのメモリを越境して読み書きできるというもので、さらに進むと直接リモート RCE につながります。現在、すでに誰かがペイロードを実行しています。コメント欄には、ユーザーが Grok を使用して確認したところ、Grok は次のように回答しました："CVE-2025-43300 は実際の Apple のゼロデイ脆弱性で、iOS、iPadOS、および macOS に影響を与えます。悪意のある画像を処理することで、メモリの越境書き込みと潜在的なリモートコード実行が引き起こされる可能性があります。Apple は特定の個人に対する複雑な攻撃の報告を確認しており、2025 年 8 月に修正のための更新をリリースしました（例：iOS 18.6.2）。直ちに更新することをお勧めします。出典：Apple サポートページ、NVD およびセキュリティレポート。"

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ会社 Halborn は、2022 年 3 月に Halborn が Dogecoin のオープンソースコードベースにブロックチェーンセキュリティに影響を与える可能性のある脆弱性が存在するかどうかを評価するために雇われたと発表しました。この評価期間中、Halborn はいくつかの深刻で悪用可能な脆弱性を発見し、Dogecoin チームによって修正されました。しかし、より広範な調査の結果、Halborn は同様の脆弱性が Litecoin や Zcash を含む 280 以上の他のネットワークにも影響を与えていることを確認し、250 億ドル以上のデジタル資産がリスクにさらされていることを明らかにしました。Halborn はこの脆弱性に "Rab13s" というコードネームを付けました。Rab13s 脆弱性は、影響を受けたネットワークの P2P メッセージングメカニズムにおいて発見されました。この脆弱性を利用することで、攻撃者は各ノードに巧妙に作成された悪意のあるコンセンサスメッセージを送信し、各ノードをシャットダウンさせ、最終的にネットワークが 51% 攻撃やその他の深刻な問題に直面するリスクを引き起こす可能性があります。RPC サービス内の 2 番目の脆弱性は、攻撃者が RPC リクエストを通じてノードをクラッシュさせることを可能にします。しかし、成功するためには有効な資格情報が必要であり、これにより一部のノードが停止命令を実行したため、ネットワーク全体がリスクにさらされる可能性は低くなります。3 番目の脆弱性は、攻撃者がユーザーが RPC を介してノードを実行しているコンテキスト内でコードを実行することを可能にします。しかし、この利用の可能性は低く、有効な資格情報が必要です。Halborn は Rab13s のために、異なるネットワークへの攻撃を示すための構成可能なパラメータを持つ概念実証を含む脆弱性利用ツールキットを開発したと述べています。すべての必要な技術情報は、バグ修正を支援するために特定された利害関係者と共有され、コミュニティやマイナーに必要なパッチが公開されました。UTXO ベースのノード（例：Dogecoin）を使用しているプロジェクトには、すべてのノードを最新バージョン（1.14.6）にアップグレードすることを推奨します。問題の深刻さから、Halborn は現在、さらなる技術的または脆弱性利用の詳細を公開しないとしています。（出典リンク）