資安研究人員Mickey Jin公開揭露CVE-2025-43530,指出macOS內建螢幕閱讀器VoiceOver相關的私有框架ScreenReader.framework內部,存在用來判斷呼叫端是否可信任的邏輯瑕疵,可能讓一般應用程式在不該被放行的情境下,取得較高權限的跨程序自動化能力,進而形成繞過Apple TCC(Transparency、Consent、Control)隱私授權控管的缺口。
Apple的安全性內容文件顯示,CVE-2025-43530已在2025年12月釋出的macOS Tahoe 26.2、macOS Sequoia 15.7.3、macOS Sonoma 14.8.3,以及iOS 18.7.3、iPadOS 18.7.3中完成修補。
依Apple安全性內容文件的分類,macOS端把此漏洞列在VoiceOver項目下,影響描述為應用程式可能存取敏感使用者資料,並以改進檢查方式修補。iOS與iPadOS端則把同一CVE列在設定項目下,修補方式同樣是改進檢查。
研究人員把焦點放在名為com.apple.scrod的系統服務。依其說明,這是VoiceOver相關元件提供的MIG Mach服務,系統會在登入視窗或使用者登入後,依工作階段自動啟動對應的scrod程序。由於scrod本身帶有多項敏感的TCC權限宣告,包含AppleEvents等可用來進行跨程序自動化互動的能力,因此,該服務對外介面採用何種方式判斷呼叫端是否可信任,直接左右整體安全邊界的強度。
研究人員指出,問題出在服務端的可信任判斷流程。原始實作在判斷呼叫端身分時,可能退回改以程序路徑取得靜態簽署資訊,並以anchor apple這種等同認定程式由Apple簽署的條件,把呼叫端視為可信任,未能全程以稽核權杖把身分與當下連線綁定。研究者因此提醒,這類以路徑為核心的驗證方式,除了可能引入TOCTOU(Time of Check to Time of Use)時間差風險,也可能讓攻擊者透過對Apple簽署可執行檔的程式碼注入來借用其簽署身分。
一旦這套可信任判斷被繞過,攻擊者就可能透過該服務執行任意AppleScript檔案,並向目標程序送出AppleEvents。由於TCC原本就是用來限制這類跨程序自動化互動的隱私控管機制,當帶有較高權限的系統服務被誤用,就可能形成繞過使用者授權流程的缺口。
研究人員並指出,macOS 26.2的修補方向是改為要求呼叫端具備com.apple.private.accessibility.scrod entitlement,並透過稽核權杖驗證呼叫端身分,避免再走以路徑為核心的靜態簽署檢查,降低TOCTOU類型繞過的空間。
熱門新聞
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09