<xmp id="mocom">
網易科技訊4月23日消息,據媒體報道,美國網絡安全公司ZecOps的研究人員當地時間周三宣布,他們在蘋果iPhone和iPad電子郵件應用程序中發現了兩個零日漏洞。
研究人員說,這兩種漏洞的變種甚至可以追溯到2012年發布的iOS 6,這意味著黑客利用它們攻擊iPhone和iPad用戶長達8年之久。如果設備被感染,用戶甚至不知道自己被黑客攻擊。螺桿泵
第一個漏洞允許黑客通過發送消耗大量內存的電子郵件來感染iOS設備。它不會給用戶帶來太大的風險,只允許攻擊者泄露、修改或刪除電子郵件。但即使是最新版本的iOS,它們仍然有效,黑客可以使用電子郵件應用程序訪問任何內容,包括機密消息。不銹鋼磁力泵
第二個漏洞使用蘋果的MobileMail和Mailid進程運行遠程代碼。再加上另一個內核攻擊(例如無法修補的Checkm8漏洞),此漏洞可使攻擊者以超級用戶身份訪問特定目標設備。
ZecOps在報告中發現,一些客戶已經成為目標。有趣的是,盡管有證據表明這些漏洞是在目標設備上執行的,但電子郵件本身并不危險。這表明攻擊者刪除了這些電子郵件以掩蓋其蹤跡。計量泵
安全研究人員說,與其他黑客相比,該漏洞相對不完整,這意味著有經驗的攻擊者可能認為利用該漏洞處理重要目標風險太大。
然而,ZecOps指出,使用這些漏洞的攻擊可能會增加,因為它們現在已經公開,這意味著正常用戶可能最終成為攻擊的目標。如果利用這些漏洞的網絡罪犯可以利用其他漏洞,那么這種情況就變得更加危險。離心泵
這些漏洞只影響本地郵件應用程序,而不影響第三方應用程序。為了降低被攻擊的風險,ZecOps建議用戶在發布修補程序之前停止在iOS和iPadOS上使用郵件,并使用第三方電子郵件應用程序。排污泵
ZecOps說,它在2月份提醒了蘋果這些漏洞。從那時起,這兩個漏洞都已在最新的iOS 13測試版中修復,并將在iOS和iPadOS 13.4.5下一次公開發布的iOS更新中添加修補程序。
