Güvenlik araştırmacıları, Apple’ın RemotViewServices çerçevesi aracılığıyla kısmi sanal alan bypass’ı gösteren bir kavram kanıtı (POC) ile birlikte CVE-2025-31258 olarak izlenen yeni bir macOS Sandbox kaçış güvenlik açığını açıkladılar.
Araştırmacı WH1TE4ever tarafından keşfedilen kusur, MacOS’un süreçler arası iletişim (IPC) mekanizmalarında, saldırganların uygulama sanal alan kısıtlamalarının dışında keyfi kod yürütmesini sağlayabilecek zayıflıkları ortaya koyuyor.
POC artık GitHub’da halka açık olarak, Apple resmi bir düzeltme yayınlayana kadar işlenmemiş sistemleri hedefleyen potansiyel sömürü kampanyaları üzerine monte ediyor.
.png
)
Güvenlik açığı, uygulama uzantıları ve uygulama arası iletişim gibi özellikler için çapraz işlem kullanıcı arayüzü oluşturmayı kolaylaştırmak için tasarlanmış bir sistem hizmeti olan MacOS’un RemoteViewServices Framework’te bulunur.
POC’nin teknik dokümanlarına göre, çerçeve, görünüm barındırma istekleri sırasında müşteri tarafından sağlanan verileri yetersiz bir şekilde doğrular ve kötü amaçlı aktörlerin bellek tahsisi rutinlerini manipüle etmesine izin verir.
RemoteViewServices’i kötüye kullanan kötü amaçlı bir uygulamayı hazırlayarak ‘ createeviewProxyWithoptions API, Saldırganlar kum havuzu ve sandboxed işlemler arasında bir yarış koşulu tetikleyebilir.
Bu, saldırganın kod yürütmesini sistemin bağlamında verir. Vitrin Hizmet (kök olarak çalışıyor), uygulama sandbox’ın dosya sistemini ve ağ kısıtlamalarını etkili bir şekilde atlayarak.
İstismar, XPC mesaj işlemesinde uygunsuz senkronizasyondan yararlanarak diğer ayrıcalıklı hizmetlere yanal hareket sağlayarak kısmi sanal alan kaçışına ulaşır.
Özellikle, mevcut POC, ~/kütüphane ve sınırlı komut yürütme gibi korunan dizinlere okuma/yazma erişimini gösterir, ancak tam çekirdek seviyesi ayrıcalıkları elde etmez.
Bununla birlikte, güvenlik analistleri bu istismarın ayrı bir çekirdek güvenlik açığı ile birleştirilmesinin tam sistem uzlaşmasına yol açabileceği konusunda uyarıyor.
MacOS güvenlik duruşuna etki
Apple’ın uygulaması Sandbox, uygulamaları minimum kaynak erişimine kısıtlayan kritik bir savunma katmanı olarak hizmet eder. CVE-2025-31258, bu izolasyon modelini, özellikle de kum havuzlu uygulamaların hassas verileri ele aldığı kurumsal ortamları tehdit eden tehdit edici ortamları zayıflatır.
Kusur, MacOS Ventura 13.4’ten Sonoma 14.2’ye etkilenir ve kullanıcı etkileşiminin kötü amaçlı bir uygulama başlatmasını gerektirir.
Yasak saldırı bildirilmese de, POC’nin serbest bırakılması kısa vadeli riskleri arttırır. Saldırganlar istismarları şöyle silahlandırabilir:
- MacOS şeffaflığı, rıza ve kontrol (TCC) korumalarını atlayın.
- Sandboxed şifre yöneticilerinden şifreleme anahtarları çıkarın.
- Sınırlı sistem önbellekleri ve kütüklere karşı kurcalama.
Güvenlik ekipleri, kısmi sanal alan kaçışının, yetersiz kalma araçlarıyla zincirlendiğinde hala önemli riskler oluşturduğunu ve veri açığa çıkmasını veya fidye yazılımı dağıtımını sağladığını vurgulamaktadır.
Azaltma ve yama durumu
Apple güvenlik açığını kabul etti ve buna 7.8 (yüksek şiddet) CVSSV3 puanı verdi. MacOS 14.3’te bir yama bekleniyor, ancak piyasaya sürülene kadar yöneticiler:
- Son nokta koruma araçları yoluyla güvenilmeyen Mach-O ikili dosyalarının yürütülmesini engelleyin.
- RemoteViewServices API’lerini kullanarak üçüncü taraf uygulamalarını denetleyin.
- Beklenmedik Monitör Vitrin Hizmet Çocuk Süreçleri.
Siber güvenlik topluluğu, geliştiricileri IPC uygulamalarını gözden geçirmeye ve XPC işleyicileri için resmi doğrulama yöntemlerini benimsemeye çağırıyor.
Bu arada, resmi güncellemeyi bekleyen kullanıcılar, mutsuz uygulamalar yüklemekten ve kod imzalama politikalarını uygulamaktan kaçınmalıdır.
Bu olay, modern işletim sistemlerinde IPC mimarilerinin güvence altına alınmasındaki gelişen zorlukları vurgulamakta ve sanal alan kaçış tehditlerine karşı derinlemesine savunma stratejileri ihtiyacını tekrarlamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!