安全研究人员为运行 iOS 15 和 macOS 12 的神经引擎设备发布带有内核可读写的 PoC

安全研究员@_simo36 用一条推文引起了很多关注 共享 周五,它似乎包含一个名为 WeightBufs 的漏洞利用链的概念证明 (PoC),该链在某些版本的 iOS 和 iPadOS 15 和 macOS 12 上实现内核内存读取和写入功能。

在推文中,@_simo36 指向一个 GutHub 页面 它不仅包含有关漏洞利用的所有信息,还包含 演示文稿的幻灯片 他们在 POC2022 上给了。

看起来,该漏洞利用本身支持配备神经引擎的设备(A11 和更新版本)上的所有版本的 iOS 和 iPadOS 15,略低于 iOS 和 iPadOS 16; 但 iOS 和 iPadOS 15.6 修补了沙盒逃逸,这打破了用于实现 WeightBufs hack 的漏洞利用链。 考虑到这一点,完整的漏洞利用链目前仅适用于 iOS 和 iPadOS 15.0-15.5 和 macOS 12.0-12.4。

上述问题强调了当今影响越狱的核心问题之一,即技术怎样变得比内核利用本身更重要。 由于 Apple 继续加强 iPhone 和 iPad 的安全性,因此没有任何单一内核漏洞可以越狱现代 iOS 或 iPadOS 固件。 正因为如此,越狱开发人员需要额外的资源,例如绕过和沙盒逃逸来实现这一目标。 驾驭所有这些机制背后的逻辑构成了一种技术。

@_simo36 的利用链中至少使用了四个已向 Apple 报告的不同漏洞,包括:

  • CVE-2022-32845: aed 绕过 model.hwx 的签名检查。
  • CVE-2022-32948: DeCxt::FileIndexToWeight() OOB 由于缺少数组索引验证而读取。
  • CVE-2022-42805: 由于整数溢出问题,ZinComputeProgramUpdateMutables() 潜在的任意读取
  • CVE-2022-32899: DeCxt::RasterizeScaleBiasData() 由于整数溢出问题导致缓冲区下溢。

目前,@_simo36 表示他们已经在以下设备和固件组合上成功测试了他们的漏洞利用链:

  • 运行 iOS 15.5 的 iPhone 12 Pro (iPhone 13,3)
  • 运行 iPadOS 15.5 的 iPad Pro (iPad 8,10)
  • 运行 iOS 15.4.1 的 iPhone 11 Pro (iPhone 12,3)
  • 运行 macOS 12.4 的 MacBook Air(带 M1 芯片的 10,1)

所以我们知道你们都在问的一个灼热的问题是,“这可以用来越狱吗?” 这个问题的简单答案是否定的,因为它只是一个更大的难题中的一部分,并且需要更多的工作来构建越狱并使其在最终用户设备上启动并运行。

尽管如此,概念验证还是很棒的 example 我们只能希望它有助于更​​快地完成这个难题,因为几个越狱团队在后台工作,为 iOS 和 iPadOS 15 开发越狱。

事实上,一些开发人员已经在研究可以将其整合到他们的项目中的方法,例如 TrollStore 开发人员 @opa334,他们可能能够使用它来增强 TrollNonce。 但值得注意的是,TrollStore 永远不会支持比它已经支持的固件更新的任何东西:

您是否很高兴看到新的漏洞利用链会变成什么样子? 在下面的评测部分让我们知道。