苹果电邮应用惊现安全漏洞!或被黑客利用了八年
source link: http://news.ikanchai.com/2020/0423/349393.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
4月23日消息,据外媒报道,美国网络安全公司ZecOps的研究人员于当地时间周三宣布,他们在苹果iPhone和iPad的电子邮件应用程序中发现了两个零日漏洞。
研究人员说,这两个漏洞的变体甚至可以追溯到2012年发布的iOS 6身上,这意味着黑客已经利用它们对iPhone和iPad用户进行了长达八年的攻击。如果设备被感染,用户甚至不知道他们正在被黑客攻击。
第一个漏洞允许黑客通过发送消耗大量内存的电子邮件来感染iOS设备,它本身并不会给用户带来太大风险,只允许攻击者泄露、修改或删除电子邮件。但它们在即便是最新版本的iOS中也依然有效,黑客利用邮件应用程序可以访问的任何内容,包括机密消息。
第二个漏洞则利用苹果的MobileMail和Mailid进程来运行远程代码。与另一种内核攻击(如无法打补丁的Checkm8漏洞)相结合,这个漏洞可能会允许攻击者以超级用户身份访问特定目标设备。
ZecOps在其报告中发现,有些客户已经成为目标。有趣的是,虽然有证据表明这些漏洞是在目标设备上执行的,但电子邮件本身并不存在危险。这表明袭击者删除这些电子邮件是为了掩盖他们的踪迹。
安全研究人员表示,与其他黑客相比,该漏洞相对来说还不够完善,这意味着经验丰富的攻击者可能会认为,使用该漏洞对付重要目标风险太大。
尽管如此,ZecOps指出,使用这些漏洞的攻击可能会增加,因为它们现在被公开披露,这意味着正常用户最终也可能成为攻击目标。如果利用这些漏洞的网络犯罪分子可以利用额外的漏洞,那么这种情况就会变得更加危险。
这些漏洞只影响本地邮件应用程序,而不影响第三方应用程序。为了降低遭到攻击的风险,ZecOps建议用户在发布补丁之前停止使用iOS和iPadOS上的Mail,转而使用第三方电邮应用。
ZecOps表示,它在2月份提醒苹果注意这些漏洞。自那以后,这两个漏洞都已经在iOS 13的最新测试版中得到了修复,iOS和iPadOS 13.4.5的下一次公开发布的iOS更新中也将添加补丁。
【来源: 网易 科技 】
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK