文章总结： 本文介绍了针对iOS18.x的零点击远程代码执行攻击链CVE-2025-31200和CVE-2025-31201。攻击者通过iMessage发送恶意MP4文件，利用CoreAudio解码器堆损坏漏洞进而通过AppleBCMWLAN实现内核提权。该漏洞允许无交互代码执行及未经授权签名，苹果已在iOS18.4.1中修复，建议用户尽快更新。 综合评分： 84 文章分类： 漏洞分析,漏洞预警,移动安全

CVE-2025-31200 和 CVE-2025-31201 | iMessage 零点击远程代码执行链

Ots安全

2025年12月22日 17:13 广东

威胁简报

恶意软件

漏洞攻击

概括

本仓库记录了对影响 iOS 18.x 的零点击远程攻击链的研究。通过 iMessage 发送的格式错误的 MP4 音频文件会触发以下攻击：

1. CoreAudio 中的堆损坏 (CVE-2025-31200) — AudioConverterService AAC 解码中。
2. 通过 AppleBCMWLAN/AMPDU 处理进行内核升级 (CVE-2025-31201) — 导致内核代码执行。

在漏洞利用后的测试中，发现有人滥用 CryptoTokenKit 签名操作，在没有交互式提示的情况下调用了由安全隔离区支持的密钥。苹果公司已在 iOS 18.4.1 中修复了这些漏洞。

已验证行为

• CVE-2025-31200 (CoreAudio) — AudioConverterService AAC 解码器中的堆损坏，原因是格式错误inMagicCookie。无需点击，无需用户交互。
• CVE-2025-31201 (AppleBCMWLAN) — CoreAudio 损坏后可导致内核权限提升。在受影响的设备/版本上完全可复现。
• 零点击传播途径——恶意媒体在设备锁定状态下通过 iMessage 处理。

观察到的妥协后行为

• 未经授权的签名： CryptoTokenKit / identityservicesd 在没有 UI 提示的情况下，从受损上下文中调用了签名操作（未导出安全隔离区密钥材料）。
• 系统不稳定：媒体解码失败与 PME 强制执行日志、GPU/AppleDCP 链路错误、媒体播放变体切换循环以及偶尔的 launchd/SoC 停顿相关。
• 传播条件：观察到 AWDL 中对等令牌的重用；如果令牌缓存仍然存在，则可能存在跨设备风险。

影响范围

• 受影响版本： iOS 18.4 及更早版本
• 已修复： iOS 18.4.1（2025 年 4 月 16 日）— 修复 CVE-2025-31200 和 CVE-2025-31201 漏洞
• Vector：无需点击即可从已知发件人接收 iMessage/SMS 消息（绕过 BlastDoor/Blackhole）
• 主要组件： AudioConverterService（CoreAudio AAC解码器）→ AppleBCMWLAN.dext（内核提升）
• 链式组件： AppleBCMWLAN.dext — AMPDU 处理 → 内核权限提升 (CVE-2025-31201)
• 所需权限：无（初始）；内核在链后实现
• 影响概要：完整性（未经授权的签名、令牌/设备冒用）+可用性（系统停滞）；机密性——无密钥导出

披露时间表

• 已向苹果公司报告：2024年12月20日
• 已于 2025 年 1 月 21 日重新向 Apple 和 US-CERT 报告（跟踪 ID：VRF#25-01-MPVDT）
• 已与 Google Project Zero / 研究团队共享：2025 年 4 月 11 日
• 苹果已修复：2025年4月16日（iOS 18.4.1）
• CVE编号：CVE-2025-31200和CVE-2025-31201

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《CVE-2025-31200 和 CVE-2025-31201 | iMessage 零点击远程代码执行链》