網絡安全新資訊,蘋果電郵應用驚現安全漏洞!或被黑客利用了八年
2020-04-24 14:21 作者:艾銻無限 瀏覽量:
網絡安全新資訊,蘋果電郵應用驚現安全漏洞!或被黑客利用了八年
艾銻無限科技專業:IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
4月23日消息,據外媒報道,美國網絡安全公司ZecOps的研究人員于當地時間周三宣布,他們在蘋果iPhone和iPad的電子郵件應用程序中發現了兩個零日漏洞。
(原標題:Two Apple Mail vulnerabilities being used to target iPhone, iPad users)
研究人員說,這兩個漏洞的變體甚至可以追溯到2012年發布的iOS 6身上,這意味著黑客已經利用它們對iPhone和iPad用戶進行了長達八年的攻擊。如果設備被感染,用戶甚至不知道他們正在被黑客攻擊。
第一個漏洞允許黑客通過發送消耗大量內存的電子郵件來感染iOS設備,它本身并不會給用戶帶來太大風險,只允許攻擊者泄露、修改或刪除電子郵件。但它們在即便是最新版本的iOS中也依然有效,黑客利用郵件應用程序可以訪問的任何內容,包括機密消息。
第二個漏洞則利用蘋果的MobileMail和Mailid進程來運行遠程代碼。與另一種內核攻擊(如無法打補丁的Checkm8漏洞)相結合,這個漏洞可能會允許攻擊者以超級用戶身份訪問特定目標設備。
ZecOps在其報告中發現,有些客戶已經成為目標。有趣的是,雖然有證據表明這些漏洞是在目標設備上執行的,但電子郵件本身并不存在危險。這表明襲擊者刪除這些電子郵件是為了掩蓋他們的蹤跡。
安全研究人員表示,與其他黑客相比,該漏洞相對來說還不夠完善,這意味著經驗豐富的攻擊者可能會認為,使用該漏洞對付重要目標風險太大。
盡管如此,ZecOps指出,使用這些漏洞的攻擊可能會增加,因為它們現在被公開披露,這意味著正常用戶最終也可能成為攻擊目標。如果利用這些漏洞的網絡犯罪分子可以利用額外的漏洞,那么這種情況就會變得更加危險。
這些漏洞只影響本地郵件應用程序,而不影響第三方應用程序。為了降低遭到攻擊的風險,ZecOps建議用戶在發布補丁之前停止使用iOS和iPadOS上的Mail,轉而使用第三方電郵應用。
ZecOps表示,它在2月份提醒蘋果注意這些漏洞。自那以后,這兩個漏洞都已經在iOS 13的最新測試版中得到了修復,iOS和iPadOS 13.4.5的下一次公開發布的iOS更新中也將添加補丁。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉