苹果电邮应用惊现安全漏洞!或被黑客利用了八年
2020年04月23日 09:38:46 · 本文共 833 字阅读时间约 3分钟 · 3,387 次浏览(原标题:Two Apple Mail vulnerabilities being used to target iPhone, iPad users)
网易科技讯 4月23日消息,据外媒报道,美国网络安全公司ZecOps的研究人员于当地时间周三宣布,他们在苹果iPhone和iPad的电子邮件应用程序中发现了两个零日漏洞。
研究人员说,这两个漏洞的变体甚至可以追溯到2012年发布的iOS 6身上,这意味着黑客已经利用它们对iPhone和iPad用户进行了长达八年的攻击。如果设备被感染,用户甚至不知道他们正在被黑客攻击。
第一个漏洞允许黑客通过发送消耗大量内存的电子邮件来感染iOS设备,它本身并不会给用户带来太大风险,只允许攻击者泄露、修改或删除电子邮件。但它们在即便是最新版本的iOS中也依然有效,黑客利用邮件应用程序可以访问的任何内容,包括机密消息。
第二个漏洞则利用苹果的MobileMail和Mailid进程来运行远程代码。与另一种内核攻击(如无法打补丁的Checkm8漏洞)相结合,这个漏洞可能会允许攻击者以超级用户身份访问特定目标设备。
ZecOps在其报告中发现,有些客户已经成为目标。有趣的是,虽然有证据表明这些漏洞是在目标设备上执行的,但电子邮件本身并不存在危险。这表明袭击者删除这些电子邮件是为了掩盖他们的踪迹。
安全研究人员表示,与其他黑客相比,该漏洞相对来说还不够完善,这意味着经验丰富的攻击者可能会认为,使用该漏洞对付重要目标风险太大。
尽管如此,ZecOps指出,使用这些漏洞的攻击可能会增加,因为它们现在被公开披露,这意味着正常用户最终也可能成为攻击目标。如果利用这些漏洞的网络犯罪分子可以利用额外的漏洞,那么这种情况就会变得更加危险。
这些漏洞只影响本地邮件应用程序,而不影响第三方应用程序。为了降低遭到攻击的风险,ZecOps建议用户在发布补丁之前停止使用iOS和iPadOS上的Mail,转而使用第三方电邮应用。
ZecOps表示,它在2月份提醒苹果注意这些漏洞。自那以后,这两个漏洞都已经在iOS 13的最新测试版中得到了修复,iOS和iPadOS 13.4.5的下一次公开发布的iOS更新中也将添加补丁。(小小)
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003355
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
- 前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
- OmniGraffle 激活/破解 密钥/密匙/Key/License
- Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿
- CleanMyMac X 破解版 [TNT] 4.6.0
- OmniPlan 激活/破解 密钥/密匙/Key/License
- 人大金仓 KingbaseES V8 R3 安装包、驱动包和 License 下载地址
- Parallels Desktop For Mac 16.0.1.48911 破解版 [TNT]
- Parallels Desktop For Mac 15.1.4.47270 破解版 [TNT]
- Sound Control 破解版 2.4.2
- CleanMyMac X 破解版 [TNT] 4.6.5
- 博客完全迁移上阿里云,我所使用的阿里云架构
- 微软确认Windows 10存在bug 部分电脑升级后被冻结
- 大佬们在说的AQS,到底啥是个AQS(AbstractQueuedSynchronizer)同步队列
- 比特币(BTC)钱包客户端区块链数据同步慢,区块链数据离线下载
- Java中说的CAS(compare and swap)是个啥
- 小心免费主题!那些WordPress主题后门,一招拥有管理员权限
- 强烈谴责[wamae.win]恶意反向代理我站并篡改我站网页
- 讨论下Java中的volatile和JMM(Java Memory Model)Java内存模型
- 新版个人网站 NEILREN4J 上线并开源程序源码
- 我站近期遭受到恶意不友好访问攻击公告