AirBorne漏洞可导致苹果设备被完全劫持

苹果AirPlay协议及SDK中的漏洞使苹果及第三方设备面临攻击风险，包括远程代码执行。

网络安全公司Oligo在苹果AirPlay协议及软件开发套件（SDK）中发现一系列严重漏洞（统称为AirBorne），影响苹果及第三方设备。攻击者可利用这些漏洞实施零点击/单点击远程代码执行（RCE）、绕过访问控制列表（ACL）、读取本地文件、窃取数据，以及发起中间人（MITM）或拒绝服务（DoS）攻击。这些漏洞可被组合利用，通过无线或点对点连接完全劫持设备。

AirBorne漏洞虽未影响所有苹果设备，但全球有23.5亿台活跃苹果设备（包括超1亿台Mac和数千万台支持AirPlay的第三方设备），潜在影响范围极大。研究人员发现编号为CVE-2025-24252和CVE-2025-24132的两个漏洞可实现可蠕虫传播的零点击RCE，攻击者不仅能劫持支持AirPlay的设备，还能通过本地网络传播恶意软件。由于AirPlay在苹果及第三方设备中的广泛存在，这些漏洞可能导致间谍活动、勒索软件和供应链攻击等风险。

CVE-2025-24252是macOS系统中的高危释放后使用（use-after-free）漏洞，远程攻击者可触发该漏洞执行任意代码。当与CVE-2025-24206组合利用时，可对网络设置开放的AirPlay设备发起零点击蠕虫攻击。攻击者无需用户交互即可通过公共WiFi等途径在网络间传播恶意软件。

CVE-2025-24132是AirPlay SDK中的基于栈的缓冲区溢出漏洞，影响所有支持AirPlay的扬声器和接收器，同样可实现零点击蠕虫式RCE。利用该漏洞可从播放媒体内容到严重入侵（如在敏感环境中通过设备麦克风窃听）等多种攻击效果。

Oligo向苹果报告了23个漏洞，其中17个获得CVE编号。双方通过合作已识别并修复问题，遵循负责任的漏洞披露流程发布更新。为降低风险，用户应：

• 及时更新设备系统

• 停用不必要的AirPlay接收功能

• 通过防火墙限制7000端口的AirPlay访问

• 将"允许AirPlay访问"设置为"仅限当前用户"

报告特别强调："企业必须立即更新所有支持AirPlay的公司设备，安全负责人还需明确告知员工及时更新个人设备。"

原文始发于微信公众号（FreeBuf）：AirBorne漏洞可导致苹果设备被完全劫持