macOS 15.3修复高危漏洞CVE-2025-24204，用户需尽快升级

近日，有安全研究人员发现，苹果的 macOS 15 Sequoia 系统中存在一个高危安全漏洞，可能导致用户隐私数据泄露。该漏洞已被编号为 CVE-2025-24204。

该漏洞最早由安全研究员 Koh M. Nakagawa 发现，并在 Nullcon Berlin 2025 会议上公开。根据介绍，攻击者可利用此漏洞通过系统的调试工具 gcore 读取任意进程的内存数据。该工具被赋予了过高的权限（com.apple.system-task-ports.read），即使系统启用了系统完整性保护（SIP），也无法阻止攻击者的行为。

通过该漏洞，攻击者能够直接提取 Keychain 的加密主密钥，从而在没有用户密码的情况下解密所有钥匙串数据，包括各类账户密码和加密证书等敏感信息。此外，攻击者还可借此绕过透明化权限控制（TCC）机制，进而访问用户的照片、联系人等受保护文件。

据研究人员介绍，该漏洞最初是在测试微软推出的 ProcDump-for-Mac 工具时被发现。理论上，SIP 应该阻止此类内存访问行为，但因 gcore 被错误授予系统级权限，导致其能够转储几乎所有进程的内存内容。

攻击者若读取名为 securityd 的系统进程内存，即可恢复用于加密钥匙串的主密钥，从而实现对 Keychain 的完全解密。同时，运行在 Apple Silicon Mac 上的 iOS 应用也会受到影响，其加密的二进制文件在运行时可被提取并解密，而这一行为通常需要设备越狱才能完成。

苹果在 2025 年发布的 macOS 15.3 更新中已修复该漏洞，移除了 gcore 的问题权限。但相关修复并未在官方安全通告中特别强调，仅简要提及于更新日志中。

尽管可以通过终端安全框架监控可疑的内存读取调用行为，但研究员认为，企业要实时识别此类攻击仍存在一定难度，因此最有效的应对方式仍然是尽快完成系统升级。

为防范潜在的安全威胁，建议所有使用 macOS Sequoia 的用户尽快升级至 15.3 或更高版本。目前仍在使用旧版本系统的用户面临较高风险，且尚无其他可行的临时缓解措施。