苹果产品多重漏洞可导致任意代码执行

MS-ISAC 公告编号：2025-042
发布日期：2025年4月17日

概述

在苹果产品中发现多个安全漏洞，其中最严重的漏洞可能允许攻击者执行任意代码。成功利用这些漏洞可使攻击者在已登录用户权限上下文中执行任意代码。根据用户权限的不同，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。系统权限配置较低的用户受影响程度可能低于具有管理员权限的用户。

受影响系统

苹果已获知报告，表明这些漏洞可能已在针对iOS特定目标个体的高度复杂攻击中被利用。

风险等级

政府机构：

• 大中型政府实体：高风险
• 小型政府实体：中等风险

企业：

• 大中型企业实体：高风险
• 小型企业实体：中等风险

家庭用户： 低风险

技术详情

在苹果产品中发现多个安全漏洞，其中最严重的漏洞可能允许任意代码执行。具体漏洞细节如下：

战术：执行（TA0002）
技术：客户端执行利用（T1203）

• 处理恶意制作的媒体文件中的音频流可能导致代码执行。苹果已知悉报告，表明该问题可能已在针对iOS特定目标的高度复杂攻击中被利用。（CVE-2025-31200）
• 具有任意读写能力的攻击者可能绕过指针认证机制。苹果已知悉报告，表明该问题可能已在针对iOS特定目标的高度复杂攻击中被利用。（CVE-2025-31201）

成功利用最严重漏洞可使攻击者在已登录用户权限上下文中执行任意代码。根据用户权限的不同，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。

修复建议

建议采取以下措施：

1. 应用安全更新

   • 经过适当测试后立即为受影响系统应用苹果提供的稳定通道更新（M1051：更新软件）

2. 漏洞管理

   • 保障措施7.1：建立和维护企业资产的漏洞管理流程
   • 保障措施7.2：建立基于风险的修复策略，每月或更频繁审查
   • 保障措施7.6：使用SCAP兼容工具每月执行外部暴露资产漏洞扫描
   • 保障措施7.7：每月基于修复流程修复检测到的漏洞

3. 渗透测试

   • 保障措施16.13：执行应用程序渗透测试
   • 保障措施18.1：建立适合企业规模的渗透测试计划
   • 保障措施18.2：每年至少执行一次外部渗透测试
   • 保障措施18.3：修复渗透测试发现的问题

4. 权限管理

   • 对所有系统和服务应用最小权限原则（M1026：特权账户管理）
   • 保障措施4.7：管理企业资产的默认账户
   • 保障措施5.4：将管理员权限限制在专用管理员账户

5. 内容限制

   • 限制特定网站使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）
   • 保障措施2.3：处理未经授权软件
   • 保障措施2.7：允许列表授权脚本
   • 保障措施9.3：维护和强制执行基于网络的URL过滤
   • 保障措施9.6：阻止不必要的文件类型

6. 漏洞利用防护

   • 使用功能检测和阻止可能导致软件利用的条件（M1050：利用保护）
   • 保障措施10.5：启用反利用功能（如DEP、WDEG、SIP和Gatekeeper）

7. 执行预防

   • 通过应用程序控制和/或脚本阻止在系统上执行代码（M1038：执行预防）
   • 保障措施2.5：允许列表授权软件
   • 保障措施2.6：允许列表授权库

8. 端点保护

   • 使用功能防止端点系统上出现可疑行为模式（M1040：端点行为预防）
   • 保障措施13.2：部署基于主机的入侵检测解决方案
   • 保障措施13.7：部署基于主机的入侵防御解决方案

参考链接

• Apple安全更新： https://support.apple.com/en-us/100100
  https://support.apple.com/en-us/122282
  https://support.apple.com/en-us/122400
  https://support.apple.com/en-us/122401
  https://support.apple.com/en-us/122402