Source: GitHub (b1n4r1b01). Contexte: billet technique décrivant une vulnérabilité CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ».
L’auteur localise la faille dans le sous-système Remaker de MediaToolbox.framework, due à une mauvaise gestion de l’objet FigRemakerTrack conduisant à un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID échoue et le flux de contrôle emprunte un chemin « buggy » où FigRemakerTrack est libéré alors que FigRemaker conserve une référence, ouvrant la voie à une exécution de code dans le processus mediaplaybackd. La vulnérabilité est évoquée dans le cadre des correctifs d’iOS 18.3, parmi les CVE liés à CoreMedia, comme unique cas UAF dans ce lot.
Pour atteindre le code vulnérable, la preuve de concept interagit avec plusieurs endpoints XPC de l’écosystème CoreMedia/mediaplaybackd. L’auteur indique avoir initialement mobilisé 6 endpoints (dont com.apple.coremedia.mediaplaybackd.mutablecomposition.xpc, .sandboxserver.xpc, .customurlloader.xpc, .asset, .remaker.xpc, .formatreader.xpc) avant de réduire à 3 dans la version finale du PoC, testé sur iOS 18.2. Les étapes générales incluent la création d’un objet Remaker, l’enqueue d’une requête AddVideoComposition vulnérable et le démarrage de son traitement pour déclencher la libération fautive.
Impact et exploitabilité: l’exploit proposé montre un double free (d’abord via le bug, puis à la fermeture de la connexion XPC qui nettoie l’objet Remaker), provoquant un crash; l’auteur souligne que l’exploitation fiable de ce type d’UAF CoreFoundation est devenue plus difficile depuis iOS 18 (évolutions de l’allocateur), alors qu’elle reste « gérable » sur iOS 17 (implémentation malloc plus faible), avec une capacité à placer des objets factices après la première libération.
Angle « in the wild »: s’appuyant sur la formulation des avis Apple, l’auteur note qu’Apple indique que cette faille faisait partie d’une chaîne d’attaque iOS avant iOS 17.2. Il propose une chaîne spéculative reliant des CVE publiés à la même période: WebKit (CVE-2024-23222) → UIProcess/sandbox (CVE-2025-24201) → mediaplaybackd sandbox (CVE-2025-24085) → Kernel (non précisé) → PAC/PPL (CVE-2024-23225 / CVE-2024-23296).
IOCs et TTPs:
- IOCs: aucun communiqué.
- TTPs: use-after-free et double free sur FigRemakerTrack; chaînage d’endpoints XPC CoreMedia/mediaplaybackd; évasion de sandbox mediaplaybackd; diffing de correctifs pour localiser la regression/fix; variation d’exploitabilité entre iOS 17 et iOS 18 liée à l’allocateur CoreFoundation.
Type d’article: publication de recherche/analyse technique visant à documenter la vulnérabilité, ses conditions d’atteinte et son rôle possible dans une chaîne d’exploitation plus large.
🔗 Source originale : https://github.com/b1n4r1b01/n-days/blob/main/CVE-2025-24085/CVE-2025-24085.md