Apple产品多个漏洞可导致任意代码执行

MS-ISAC 公告编号：2025-069
发布日期：2025年7月30日

概述

在Apple产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。成功利用这些漏洞中最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。在系统上配置较少用户权限的用户账户可能比具有管理用户权限的用户受到的影响小。

威胁情报

目前没有关于这些漏洞在野外被利用的报告。

受影响的系统

• iOS 18.6和iPadOS 18.6之前的版本
• iPadOS 17.7.9之前的版本
• macOS Sequoia 15.6之前的版本
• macOS Sonoma 14.7.7之前的版本
• macOS Ventura 13.7.7之前的版本
• watchOS 11.6之前的版本
• tvOS 18.6之前的版本
• visionOS 2.6之前的版本

风险等级

• 政府机构：
  • 大型和中型政府实体：高
  • 小型政府实体：中
• 企业：
  • 大型和中型企业实体：高
  • 小型企业实体：中
• 家庭用户：低

技术摘要

在Apple产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。漏洞详情如下：

战术：执行（TA0002）
技术：利用客户端执行（T1203）：

• 运行hdiutil命令可能意外执行任意代码。（CVE-2025-43187）
• 应用程序可能能够在其沙箱之外执行任意代码或具有某些提升的权限。（CVE-2025-24119）

其他较低严重性的漏洞包括：

• 密码可能通过VoiceOver朗读。（CVE-2025-31229）
• 麦克风或摄像头访问的隐私指示器可能无法正确显示。（CVE-2025-43217）
• 解析文件可能导致应用程序意外终止。（CVE-2025-43186）
• 非特权用户可能能够修改受限的网络设置。（CVE-2025-43223）
• 处理恶意制作的音频文件可能导致内存损坏。（CVE-2025-43277）
• 处理恶意制作的媒体文件可能导致应用程序意外终止或进程内存损坏。（CVE-2025-43210、CVE-2025-43224、CVE-2025-43221）
• 应用程序可能能够访问用户敏感数据。（CVE-2025-43230）
• 处理恶意制作的网页内容可能导致Safari意外崩溃。（CVE-2025-43209、CVE-2025-43214、CVE-2025-43213、CVE-2025-43212、CVE-2025-43216、CVE-2025-6558、CVE-2025-24188）
• 处理恶意制作的图像可能导致进程内存泄露。（CVE-2025-43226、CVE-2025-43215）
• 处理文件可能导致内存损坏。（CVE-2025-43202、CVE-2025-7425）
• 处理恶意制作的网页内容可能导致内存损坏。（CVE-2025-7424、CVE-2025-31278、CVE-2025-31277、CVE-2025-31273）
• 即使“加载远程图像”设置关闭，仍可能加载远程内容。（CVE-2025-31276）
• 处理恶意制作的纹理可能导致应用程序意外终止。（CVE-2025-43234）
• 处理恶意制作的文件可能导致应用程序意外终止。（CVE-2025-31281、CVE-2025-43254、CVE-2025-43239）
• 访问恶意网站可能导致地址栏欺骗。（CVE-2025-43228）
• 处理恶意制作的网页内容可能泄露敏感用户信息。（CVE-2025-43227）
• 处理网页内容可能导致拒绝服务。（CVE-2025-43211）
• 处理恶意制作的网页内容可能泄露应用程序的内部状态。（CVE-2025-43265）
• 攻击者可能导致应用程序意外终止。（CVE-2025-43222、CVE-2025-43236）
• 应用程序可能能够访问受保护的用户数据。（CVE-2025-43220、CVE-2025-43245、CVE-2025-43198、CVE-2025-43206、CVE-2025-43185）
• 应用程序可能能够对用户进行指纹识别。（CVE-2025-31279）
• 远程攻击者可能导致系统意外终止。（CVE-2025-24224）
• 应用程序可能能够访问敏感用户数据。（CVE-2025-43225、CVE-2025-43195、CVE-2025-43267、CVE-2025-43197、CVE-2025-43246）
• 应用程序可能能够读取持久设备标识符。（CVE-2025-24220）
• 应用程序可能导致拒绝服务。（CVE-2025-43191、CVE-2025-43235、CVE-2025-43193）
• 应用程序可能导致系统意外终止。（CVE-2025-43244、CVE-2025-43255、CVE-2025-43237、CVE-2025-43238）
• 应用程序可能能够获得root权限。（CVE-2025-31243、CVE-2025-43249、CVE-2025-43196、CVE-2025-43256）
• 恶意应用程序可能在受信任设备上启动任意二进制文件。（CVE-2025-43253）
• 恶意应用程序可能能够获得root权限。（CVE-2025-43248、CVE-2025-43199、CVE-2025-43188、CVE-2025-43268）
• 应用程序可能能够突破其沙箱。（CVE-2025-43257、CVE-2025-43261、CVE-2025-43275、CVE-2025-43266、CVE-2025-43250）
• 沙箱进程可能能够绕过沙箱限制。（CVE-2025-43273、CVE-2025-43274）
• 当多个用户同时登录时，iCloud Private Relay可能无法激活。（CVE-2025-43276）
• 即使启用锁定模式，账户驱动的用户注册仍可能进行。（CVE-2025-43192）
• 沙箱进程可能能够启动任何已安装的应用程序。（CVE-2025-31275）
• 处理恶意制作的图像可能损坏进程内存。（CVE-2025-43264、CVE-2025-43219）
• 处理恶意制作的文件可能导致堆损坏。（CVE-2025-31280）
• 处理恶意制作的USD文件可能泄露内存内容。（CVE-2025-43218）
• 应用程序可能获得对本地网络的未经授权访问。（CVE-2025-43270）
• 应用程序可能能够劫持授予其他特权应用程序的权限。（CVE-2025-43260）
• 具有root权限的恶意应用程序可能能够修改系统文件的内容。（CVE-2025-43247）
• 应用程序可能能够修改文件系统的受保护部分。（CVE-2025-43194、CVE-2025-43243）
• 应用程序可能能够绕过某些隐私偏好设置。（CVE-2025-43232）
• 应用程序可能能够读取其沙箱之外的文件。（CVE-2025-43241）
• 充当HTTPS代理的恶意应用程序可能获取敏感用户数据。（CVE-2025-43233）
• 本地攻击者可能获得对钥匙串项目的访问权限。（CVE-2025-43251）
• 恶意应用程序可能能够读取内核内存。（CVE-2025-43189）
• 处理恶意制作的网页内容可能导致通用跨站脚本攻击。（CVE-2025-43229）
• 下载的来源可能被错误关联。（CVE-2025-43240）
• 对锁定设备具有物理访问权限的攻击者可能能够查看敏感用户信息。（CVE-2025-43259）
• 在解析符号链接时，网站可能能够访问敏感用户数据。（CVE-2025-43252）
• 快捷方式可能能够绕过敏感的快捷方式应用程序设置。（CVE-2025-43184）

成功利用这些漏洞中最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。在系统上配置较少用户权限的用户账户可能比具有管理用户权限的用户受到的影响小。

建议措施

我们建议采取以下行动：

1. 应用Apple提供的稳定通道更新：在适当测试后立即对易受攻击的系统应用更新。（M1051：更新软件）

   • 保障措施7.1：建立和维护企业资产的漏洞管理流程。
   • 保障措施7.2：建立和维护基于风险的修复策略。
   • 保障措施7.6：执行对外暴露企业资产的自动化漏洞扫描。
   • 保障措施7.7：修复检测到的漏洞。
   • 保障措施16.13：进行应用程序渗透测试。
   • 保障措施18.1：建立和维护渗透测试程序。
   • 保障措施18.2：执行定期外部渗透测试。
   • 保障措施18.3：修复渗透测试发现的问题。

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件，以减少成功攻击的影响。（M1026：特权账户管理）

   • 保障措施4.7：管理企业资产和软件上的默认账户。
   • 保障措施5.4：将管理员权限限制为专用管理员账户。

3. 限制某些网站的使用：阻止下载/附件，阻止JavaScript，限制浏览器扩展等。（M1021：限制基于Web的内容）

   • 保障措施2.3：处理未经授权的软件。
   • 保障措施2.7：允许列表授权的脚本。
   • 保障措施9.3：维护和执行基于网络的URL过滤器。
   • 保障措施9.6：阻止不必要的文件类型。

4. 使用检测和阻止可能导致或指示软件利用发生的能力。（M1050：利用保护）

   • 保障措施10.5：启用反利用功能。

5. 通过应用程序控制和/或脚本阻止在系统上阻止代码执行。（M1038：执行预防）

   • 保障措施2.5：允许列表授权的软件。
   • 保障措施2.6：允许列表授权的库。
   • 保障措施2.7：允许列表授权的脚本。

6. 使用能力防止在终端系统上发生可疑行为模式：这可能包括可疑的进程、文件、API调用等行为。（M1040：终端行为预防）

   • 保障措施13.2：部署基于主机的入侵检测解决方案。
   • 保障措施13.7：部署基于主机的入侵预防解决方案。

参考链接

• Apple：

  • https://support.apple.com/en-us/100100
  • https://support.apple.com/en-us/124147
  • https://support.apple.com/en-us/124148
  • https://support.apple.com/en-us/124149
  • https://support.apple.com/en-us/124150
  • https://support.apple.com/en-us/124151
  • https://support.apple.com/en-us/124155
  • https://support.apple.com/en-us/124153
  • https://support.apple.com/en-us/124154

• CVE：

  • 完整CVE列表请参考原文中的链接。

获取电子邮件更新

当出现此类网络威胁时，订阅公告以获取相关资源。