JGoyd/Glass-Cage-iOS18-CVE-2025-24085-CVE-2025-24201

# Glass Cage：针对 iOS 18.2.1 的零点击 PNG 漏洞利用链 - **CVE-2025-43300:** ImageIO 越界写入 - **CVE-2025-24201:** WebKit 远程代码执行 - **CVE-2025-24085:** Core Media 权限提升 **修复时间：** 2025 年 1 月 - 3 月 **测试环境：** iPhone 14 Pro Max (iOS 18.2.1) [VirusTotal 分析（哈希值已验证） ](https://www.virustotal.com/gui/file/f1af3b4fd9f3f08253af21e4df4ea6bb35a135df0805d176238f26de80e8d167) ## 概述 **Glass Cage** 是一个在**野外被发现**的严重零点击 PNG 漏洞利用链，针对 iOS 18.2.1。此次攻击在被攻陷的设备上被主动观测到，并确认在供应商修补之前已针对真实目标使用。 通过 iMessage 发送的恶意 PNG 图像通过触发 `MessagesBlastDoorService` 中的自动解析（CVE-2025-43300）启动该利用链。该图像利用了 WebKit 堆破坏漏洞（CVE-2025-24201），随后进行沙箱逃逸和 Core Media 中的内核级权限提升（CVE-2025-24085）。 该利用链最终赋予攻击者 root 级访问权限、持久控制权、钥匙串数据窃取能力，甚至能够通过 IORegistry 操作不可逆地“变砖”设备。全程无需用户交互。 ## 日志证据： https://ia600508.us.archive.org/8/items/cve-2025-24085-24201/cve%202025-24085%3B%2024201.mov ## 漏洞利用链 1. **恶意 PNG 创建** - 嵌入带有畸形 EXIF 字段的 HEIF 负载 - 触发 `ATXEncoder` 中的堆破坏 (CVE-2025-43300) 2. **通过 iMessage 静默触发** - 文件被 `MessagesBlastDoorService` 自动处理 - 通过 WebKit 实现 RCE (CVE-2025-24201) 3. **沙箱逃逸** - WebKit 绕过资源隔离以访问私有资产 4. **权限提升** - Core Media 缺陷启用内核访问 - 利用 `mediaplaybackd`、`codecctl` 和 `IOHIDInterface` (CVE-2025-24085) 5. **持久化与变砖** - 通过 `launchd` 注入恶意 daemon - 通过 `wifid` 劫持网络 - 通过修改 IORegistry 使设备变砖 ## 入侵指标 - 对内部资产的 WebKit 资源查找 - 恶意 IP 分配：`172.16.101.176` - `wifid` 中的代理设置被修改 - 对 `CloudKeychainProxy` 的异常访问 - IORegistry 值：`IOAccessoryPowerSourceItemBrickLimit = 0` ## 时间线 | 日期 | 事件 | |--------------|-------------------------------------------------| | 2024 年 12 月 18 日 | 在野外发现并报告漏洞利用链 | | 2025 年 1 月 9 日 | 向 US Cert 和 Apple 重新提交初步报告 | | 2025 年 2 月 20 日 | CVE-2025-24085 修复 | | 2025 年 3 月 11 日 | CVE-2025-24201 修复 | | 2025 年 3 月 18 日 | CNVD-2025-06744 注册 | | 2025 年 4 月 22 日 | CNVD-2025-07885 注册 | ## 披露 此漏洞利用链被发现正在野外使用，并已负责任地披露给 Apple。随后已发布补丁。在发现时，已确认存在主动利用。 ## CNVD 认证 此研究已由**国家信息安全漏洞库 (CNVD)** 独立验证并认证。这些官方证书确认了 Glass Cage 漏洞利用链中使用的两个漏洞的高危状态： - **CNVD-2025-07885** – Apple Media Services 中的 Use-After-Free - **CNVD-2025-06744** – Apple iOS/iPadOS Core Media 中的缓冲区溢出 **研究员：** Joseph Goydish II **提交类型：** 个人研究员提交 **认证机构：** CNCERT / CNVD ## 为什么这很重要 iMessage 在消息送达后会立即创建缩略图和来电文本提醒，且该缩略图会被自动解析。如果该解析过程能被武器化，仅仅送达（缩略图 + 提醒）就足以实现瞬间、静默的入侵——无需用户操作，没有警告。 ## 参考 - CVE-2025-24085 – Core Media 权限提升 - CVE-2025-24201 – WebKit 远程代码执行 - CNVD-2025-06744 – iOS/iPadOS 缓冲区溢出 - CNVD-2025-07885 – Apple Media Services 中的 Use-After-Free

标签：Core Media, CSV导出, CVE-2025-24085, CVE-2025-24201, CVE-2025-43300, DAST, Go语言工具, Heap Corruption, ImageIO, iMessage攻击, IORegistry攻击, iOS 18, iOS漏洞, lockdown模式绕过, PNG解析漏洞, RCE, WebKit, Web报告查看器, 内核提权, 恶意软件分析, 本地权限提升, 沙箱逃逸, 漏洞利用链, 目录枚举, 移动安全, 红队武器, 编程工具, 网络安全, 设备变砖, 越狱, 远程代码执行, 隐私保护, 零点击漏洞