Google Project Zero 详细描述 macOS coreaudiod 漏洞链

执行摘要

Google Project Zero 研究员 Jann Horn 发布了一份针对 macOS 的 coreaudiod 系统守护进程的详细技术分析，利用两个漏洞 —— 一个类型混淆（CVE-2024-54529）和一个双重释放（CVE-2025-31235） —— 来实现沙箱逃逸。这项研究于 2026 年 1 月发布，作为两部分系列的一部分，展示了知识驱动的模糊测试如何揭示苹果音频子系统中根深蒂固的错误。苹果在 macOS 14.5（2024 年 5 月）中修补了 CVE-2024-54529，在 macOS 15.2（2025 年 12 月）中修补了 CVE-2025-31235。目前还没有公开报告活跃利用情况，但这个漏洞链已经完全武器化，可能被针对 macOS 环境的威胁行为者所采用。

技术分析

这些漏洞存在于 coreaudiod 中，这是负责音频处理和路由的 macOS 守护进程。CVE-2024-54529 是处理音频流格式时的一个类型混淆错误。当客户端发送一个特别制作的音频格式描述符时，守护进程误解了对象类型，导致越界读取，可以升级为在守护进程的进程上下文中任意代码执行。

CVE-2025-31235 是音频缓冲队列内存管理中的一个双重释放漏洞。在特定的时序条件下，守护进程在并发线程仍然持有引用的情况下两次释放缓冲区，破坏了堆。Horn 的漏洞链将这两个漏洞串联起来：类型混淆提供了 coreaudiod 内初始的任意读写原语，双重释放被用来获得对守护进程执行流程的完全控制。

由于 coreaudiod 以 _coreaudiod 用户身份运行，可以访问系统音频硬件和 IPC 机制，被破坏的守护进程可以与其他特权服务交互。Horn 演示了从这个立足点，攻击者可以通过劫持 XPC 连接或滥用 Mach 端口权限来逃离沙箱，最终实现以 root 用户身份执行代码。

该漏洞不需要用户交互，只需启动恶意应用程序或访问触发音频处理的受感染网站即可。攻击面广泛：任何使用 Core Audio API 的应用程序 —— 包括 Web 浏览器、媒体播放器和 VoIP 客户端 —— 都可能是一个载体。

缓解措施与建议

苹果已经在安全更新中解决了这两个 CVE。防御者应验证所有 macOS 系统至少运行 macOS 14.5（针对 CVE-2024-54529）和 macOS 15.2（针对 CVE-2025-31235）。拥有 macOS 车队的组织应优先考虑这些更新，特别是在用于敏感通信或音频处理的设备上。

对于修补延迟的环境，监控 coreaudiod 的异常行为 —— 例如意外的子进程、守护进程的不寻常网络连接或音频服务的崩溃 —— 可以表明利用尝试。应用程序沙箱和端点检测规则，标记 coreaudiod 内存访问违规，也可能提供早期警告。