CVE-2025-24118 olarak izlenen Apple’ın MacOS çekirdeğinde (XNU) kritik bir güvenlik açığı, potansiyel olarak ayrıcalıkları yükseltmesine, bozuk belleğe ve hatta çekirdek seviyesi kodunu yürütmesine izin veren açıklandı.
MacOS Sonoma sürümlerini 14.7.3’ten daha erken etkileyen kusur, 15.3’ten daha erken MacOS Sequoia sürümleri ve 17.7.4’ten daha erken iPados sürümleri, MIT Csail’de bir güvenlik araştırmacısı olan Joseph Ravichandran (@0xjprx) tarafından keşfedildi.
Açıklamanın yanı sıra, araştırmacı sorunu göstermek için bir kavram kanıtı (POC) istismarını da yayınladı.
Güvenlik açığı, Apple’ın XNU çekirdeğindeki bir yarış durumundan kaynaklanır, özellikle güvenli bellek ıslahı (SMR), salt okunur sayfa eşleme, iplik başına kimlik bilgileri ve memcpy fonksiyonunun güvenli olmayan kullanımını içerir.
Bu kombinasyon, süreç kimlik bilgilerinin yetkisiz olarak değiştirilmesine izin vererek ayrıcalık artışına yol açar.
Güvenli Bellek Islahı (SMR)
SMR, kullanımı olmayan saldırıları önlerken belleği geri almak için kullanılan bir algoritmadır. Son zamanlarda Proses kimlik bilgisi yapısı da dahil olmak üzere XNU çekirdeğinin bölümlerine tanıtıldı.
SMR, okuyucuların kritik bölümler aracılığıyla tutarlı verilere erişirken yazarların güncellemelerini serileştirmelerini sağlar.
Bununla birlikte, kimlik bilgisi güncellemeleri sırasında uygunsuz senkronizasyon, atomik olmayan yazılar SMR korumalı işaretçiler üzerinde gerçekleştirildiğinde bir yarış koşulu oluşturur.
XNU’da salt okunur sayfalar
XNU, salt okunur nesneleri tahsis etmek için zalloc_ro gibi API’leri ve bunları değiştirmek için zalloc_ro_mut kullanır. Dahili olarak, ZALLOC_RO_MUT, x86_64 mimarilerinde atomik olmayan memcpy’ye dayanır (rep movsb baytları sırayla kopyalar).
Bu, eşzamanlı yazılar sırasında kısmen güncellenmiş işaretçilerin okunabileceği bir risk getirir.
Taşınma başına kimlik bilgileri
Çekirdek, kullanıcı kimlikleri ve iş parçacıkları için grup kimlikleri gibi güvenlik ile ilgili alanları yönetmek için paylaşılan bir kimlik bilgisi yapısı (UCRED) kullanır. Bu kimlik bilgileri, iş parçacıkları arasında özdeş kimlik bilgilerini paylaşarak bellekten tasarruf etmek için bir SMR hash tablosunda saklanır.
Bununla birlikte, Proc_ro.P_ucred Pointer’daki (kimlik bilgileri referans) uygunsuz güncellemeler yolsuzluğa veya ayrıcalık artışına yol açabilir.
Yarış koşulu
Hata, atomik olmayan ZALLOC_RO_MUT işlevini kullanarak proc_ro.p_ucred işaretçisini güncelleyen kauth_cred_proc_update işlevinde yatmaktadır.
Bu işaretçinin eşzamanlı okumaları ve yazması sırasında, kısmen yazılı bir değer, istenmeyen bir kimlik nesnesine işaret eden veya çekirdek paniğine neden olan bir değer bozulabilir.
Bir atomik yazma işlevi yerine ZALLOC_RO_MUT’un yanlış kullanımı yarış koşulunu oluşturur.
Konsept Kanıtı (POC) istismar
Ravichandran’ın POC’si, aynı anda okurken (Getgid) bu güvenlik açığının tekrar tekrar geçiş yaparak nasıl kullanılabileceğini gösterir.
İstismar, kimlik bilgisi işaretçisini bozan bir yarış koşulunu tetikler:
Birden çok iş parçacığı ile yürütüldüğünde, bu POC bir çekirdek paniği veya yetkisiz kimlik bilgileri değişiklikine neden olabilir.
Apple, bu güvenlik açığı için henüz yazı yayınlamadı. Kullanıcılara güvenilmeyen kodu çalıştırmaktan kaçınmaları ve güvenlik güncellemeleri için izlemeleri tavsiye edilir.
Araştırmacı, proc_ro.p_ucred gibi SMR korumalı işaretçileri güncellerken atomik olmayan yazıların atom operasyonlarıyla değiştirilmesini önermektedir. Bu, eşzamanlı işlemler sırasında kısmen yazılı değerlerin okunmasını önleyecektir. Bu güvenlik açığı, modern çekirdeklerde uygunsuz senkronizasyon risklerini vurgulamaktadır.
Apple, etkilenen sistemler için yamalar yayınlayana kadar (MacOS Sonoma <14.7.3, MacOS Sequoia <15.3, iPados <17.7.4), kullanıcılar dikkatli olmalı ve cihazlarında güvenilmeyen yazılım çalıştırmaktan kaçınmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free