Преодоление звукового барьера, часть II: Использование CVE-2024-54529

В первой части этой серии я подробно описал свой путь в исследование безопасности macOS, который привел к обнаружению уязвимости типа (CVE-2024-54529) и уязвимости двойного освобождения (CVE-2025-31235) в системном демоне coreaudiod с помощью процесса, который я называю фаззингом, основанным на знаниях. В то время как первая статья была посвящена процессу поиска уязвимостей, эта статья погружается в сложный процесс эксплуатации уязвимости типа. Я объясню технические детали превращения потенциально эксплуатируемого сбоя в рабочий эксплойт: путь, наполненный тупиками, творческим решением проблем и, в конечном итоге, успехом. Уязвимость: краткий обзор. Если вы еще этого не сделали, я настоятельно рекомендую прочитать мою подробную статью об этой уязвимости, прежде чем продолжить. Для освежения памяти, CVE-2024-54529 - это уязвимость типа в службе com.apple.audio.audiohald Mach в фреймворке CoreAudio, используемом процессом coreaudiod. Несколько обработчиков сообщений Mach, таких как _XIOContext_Fetch_Workgroup_Port, извлекали HALS_Object из Object Map на основе ID из сообщения Mach, а затем выполняли операции над ним, предполагая, что он был определенного типа (ioct) без надлежащей проверки.