# CVE-2025-24085 > [!high] Use-After-Free no CoreMedia do iOS - Elevação de Privilégio > Vulnerabilidade use-after-free no componente CoreMedia do Apple iOS/iPadOS que permite elevação de privilégio local, explorada como parte da cadeia de ataque DarkSword direcionada a usuários iPhone de alto perfil. ## Visão Geral A [[cve-2025-24085|CVE-2025-24085]] é uma vulnerabilidade de **use-after-free** no componente **CoreMedia** do Apple iOS, iPadOS e macOS. CoreMedia é o framework responsável pelo processamento de mídia (vídeo, áudio) nos dispositivos Apple. A falha permite elevação de privilégio local e foi explorada como parte da campanha [[darksword-ios-campaign|DarkSword]] que visava dispositivos iOS de usuários de alto perfil. A Apple afirmou ter conhecimento de reports de exploração ativa desta vulnerabilidade contra versões anteriores ao iOS 17.2. Como parte de uma cadeia de exploração mobile, CVEs de elevação de privilégio como esta são combinadas com vulnerabilidades de execução remota de código (como [[cve-2025-24201|CVE-2025-24201]] e [[cve-2025-24086|CVE-2025-24086]]) para comprometimento completo do dispositivo. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Use-After-Free - Elevação de Privilégio | | Componente | CoreMedia (processamento de mídia iOS) | | Vetor | Local - requer acesso ao dispositivo ou malware instalado | | Impacto | EoP - acesso a recursos privilegiados | | Cadeia DarkSword | Combinada com CVE-2025-24201 e CVE-2025-24086 | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1404-exploit-for-privilege-escalation\|T1404]] | Elevação de privilégio via CoreMedia UAF | | [[t1421-system-network-connections-discovery\|T1421]] | Descoberta de rede pós-EoP no iOS | | [[t1430-location-tracking\|T1430]] | Acesso a GPS e dados de localização | | [[t1636-contact-list\|T1636]] | Acesso a contatos e comúnicações pós-EoP | ## Detecção e Defesa **Mitigações:** - Atualizar iOS para versão 18.3 ou superior imediatamente - [[m1051-update-software\|M1051]] - Habilitar atualizações automáticas do iOS - Para usuários de alto risco: ativar modo Lockdown no iPhone (iOS 16+) - Verificar sinais de comprometimento via iMazing Spyware Analyzer ou MVT > [!latam] Relevância para Brasil e LATAM > Campanhas de spyware sofisticado como a DarkSword visam jornalistas, ativistas, diplomatas e executivos de alto perfil. No Brasil, dado o contexto político, profissionais de imprensa, advogados de defesa em casos de alto perfil e executivos de grandes empresas são perfis de alto risco. Usuários brasileiros de iPhone com perfil de interesse para espionagem devem atualizar imediatamente e considerar ativar o Lockdown Mode. ## Referências - [Apple Security Advisory HT215199](https://support.apple.com/en-us/100100) - [NVD - CVE-2025-24085](https://nvd.nist.gov/vuln/detail/CVE-2025-24085)