隔空播放 (AirPlay) 是蘋果開發(fā)為自家設(shè)備開發(fā)的協(xié)議，借助該協(xié)議用戶可以將 iOS 投屏到電視或其他顯示設(shè)備上，因此除了蘋果自家設(shè)備外，全球還有數(shù)以千萬計的設(shè)備支持該協(xié)議。

網(wǎng)絡(luò)安全公司 Oligo Security Research 日前披露蘋果隔空播放協(xié)議中的多個漏洞，借助這些漏洞攻擊者可以實(shí)現(xiàn)零點(diǎn)擊遠(yuǎn)程代碼執(zhí)行，在研究報告發(fā)布前蘋果已經(jīng)積極修復(fù)這些漏洞，不過大量第三方設(shè)備可能還未修復(fù)。

這些漏洞可以導(dǎo)致哪些后果：

• 零點(diǎn)擊遠(yuǎn)程代碼執(zhí)行

• 一鍵遠(yuǎn)程代碼執(zhí)行

• 訪問控制列表和用戶交互繞過

• 本地任意文件讀取

• 敏感信息泄露

• 中間人攻擊 MiTM

• 拒絕服務(wù)攻擊 DoS

其中最嚴(yán)重的漏洞是 CVE-2025-24252/24132，如果攻擊者成功利用漏洞則可以實(shí)現(xiàn)零點(diǎn)擊遠(yuǎn)程代碼執(zhí)行，并且這些漏洞還是可蠕蟲化的，也就是可以本地網(wǎng)絡(luò)上橫向傳播并感染更多設(shè)備。

安全公司將該系列攻擊媒介命名為 AirBorne，合計共有 24 個獨(dú)立漏洞，目前已經(jīng)獲得 17 個 CVE 編號，影響的設(shè)備包括 iPhone、iPad、Mac、Apple TV、Vision Pro 以及搭載 CarPlay 系統(tǒng)的汽車。

蘋果已經(jīng)在 iOS 等更新中修復(fù)這些漏洞，但支持隔空播放的其他設(shè)備情況就比較尷尬了，這些設(shè)備例如智能電視可能已經(jīng)無法獲得廠商發(fā)布的更新，如果廠商不發(fā)布更新進(jìn)行修復(fù)的話，這些漏洞肯定會被發(fā)掘并用于攻擊。

對企業(yè)來說其危害可能更大，因?yàn)槠髽I(yè)內(nèi)網(wǎng)中的設(shè)備數(shù)量更多，如果橫向傳播則可能導(dǎo)致許多設(shè)備遭到感染，所以當(dāng)務(wù)之急就是但凡能更新的設(shè)備都先更新再說。

蘋果什么時候修復(fù)漏洞的：

蘋果在 2025 年 3 月 31 日發(fā)布的 iOS、iPadOS、macOS 等更新中已經(jīng)修復(fù)漏洞，目前大多數(shù)設(shè)備都已經(jīng)升級到更新的版本，所以安全公司才會發(fā)布漏洞研究報告，使用蘋果設(shè)備的用戶可以先檢查更新升級到最新版。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/