首个公开的Apple M5 macOS内核内存损坏漏洞利用在Mythos Preview的帮助下5天内完成

# 首个公开的 Apple M5 平台 macOS 内核内存破坏漏洞利用 来源：https://blog.calif.io/p/first-public-kernel-memory-corruption?referrer=https://reddit.com 本周初，我们在库比蒂诺的 Apple Park 参加了一次会议。在那里，我们还向苹果分享了最新的漏洞研究报告：首个公开的 macOS 内核内存破坏漏洞利用，针对 M5 芯片且绕过了 MIE。这份报告是用激光打印的，以此向我们的黑客朋友致敬。 我们想当面报告，而不是像一些不幸的 Pwn2Own 参与者那样被淹没在海量的提交中。大多数受人尊敬的黑客都尽可能避免人际交往，因此这种线下策略或许能让我们在争夺推特上那五分钟名望与荣耀的永恒竞赛中获得微弱优势。 这就是本次漏洞利用和实地考察的故事。待苹果修复漏洞和攻击路径后，我们将分享完整的技术细节。希望我们心爱的公司不要拖太久。我们只为这次攻击预算了一年的域名注册费。 [](https://substackcdn.com/image/fetch/$s_!TJW7!,f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F2c731d5e-68ca-4054-894f-659601de6a66_2048x1536.jpeg) 内存破坏仍然是包括 iOS 和 macOS 在内最普遍的漏洞类别。在安全领域，如果你无法完全防止某事，你就会[接受风险](https://www.youtube.com/watch?v=9IG3zqvUqJY)，并通过增加利用成本来缓解它。 但缓解措施并不便宜。如果性能不重要，许多安全问题很容易解决。苹果很聪明，并且掌控着全栈，因此他们将许多防御措施直接推入硬件，使绕过它们变得困难得多。许多安全专家认为苹果设备是最安全的消费平台。 最新的旗舰示例是 MIE（内存完整性增强），这是苹果基于 ARM 的 MTE（内存标记扩展）构建的硬件辅助内存安全系统。它作为 Apple M5 和 A19 的标志性安全功能推出，专门设计用于阻止内存破坏漏洞利用——正是许多针对 iOS 和 macOS 的最复杂入侵背后的漏洞类别。 苹果花了五年时间构建它。可能也花费了数十亿美元。根据他们的研究，MIE 破坏了所有针对现代 iOS 的公开漏洞利用链，包括最近泄露的 Coruna 和 Darksword 漏洞利用工具包。 我们经历了一段有趣的旅程，探索 AI 如何帮助构建在 MTE 下仍然有效的漏洞利用。虽然苹果主要关注 iOS，但他们也将 MIE 带到了 M5——驱动最新 MacBook 的芯片。 我们的 macOS 攻击路径实际上是一次偶然发现。Bruce Dang 在 4 月 25 日发现了这些漏洞。Dion Blazakis 于 4 月 27 日加入 Calif。Josh Maine 构建了工具，到 5 月 1 日，我们有了一个可用的漏洞利用代码。 该漏洞利用是一条仅数据的内核本地权限提升链，针对 macOS 26.4.1 (25E253)。它从一个无特权的本地用户开始，仅使用正常系统调用，最终获得 root shell。实现路径涉及两个漏洞和多种技术，针对启用了内核 MIE 的裸机 M5 硬件。 PoC 视频： 我们并非独自构建了这条链。Mythos Preview 帮助识别了漏洞，并在整个漏洞利用开发过程中提供了协助。 Mythos Preview 非常强大：一旦它学会了如何攻击某一类问题，它就能泛化到该类中几乎任何问题。Mythos 快速发现了这些漏洞，因为它们属于已知的漏洞类别。但 MIE 是一种全新的一流缓解措施，因此自主绕过它可能颇具挑战。这正是人类专业知识发挥作用的地方。 我们的部分动机是测试将最佳模型与专家结合时能实现什么。在一周内实现针对最佳保护措施的内核内存破坏漏洞利用是值得注意的，这有力地说明了这种组合的价值。 据我们所知，这是首个公开的在 MIE 硬件上的 macOS 内核漏洞利用。再次说明，我们将在苹果发布修复后公开我们 55 页的报告。 MIE 从来都不是为了防黑客。只要有合适的漏洞，它就可以被绕过。正如我们在 [MAD Bugs](https://blog.calif.io/t/madbugs) 系列中展示的那样，AI 系统已经在发现越来越多的漏洞。不可避免的是，其中一些漏洞最终将强大到足以绕过像 MIE 这样的高级缓解措施。这正是我们刚刚发现的。 这项工作预示着未来的趋势。苹果在 Mythos Preview 出现之前就构建了 MIE。我们即将了解到地球上最先进的缓解技术如何在第一次 AI 漏洞末日中经受考验。 **尾声** 苹果飞船总部正如人们所说的那样令人叹为观止。显然，那里有很多苹果树。我们也想去看看臭名昭著的 Infinite Loop，但又担心会花很长时间。 东道主告诉我们苹果花费了 50 亿美元建造这个“办公室”，然后问起我们的办公室。我们说，嗯，我们的肯定花费不到 10 亿美元。 但这正是 AI 的有趣之处。小团队突然可以做过去需要整个组织才能完成的事情。有了正确的战略和人才，即使是一家小公司也能变得足够强大，以至于世界上最大的公司开始寻求它的帮助。 用越南语来说，就是“nhỏ mà có võ”。 #### 关于本文的讨论 ### 准备好了吗？