网易科技讯4月23日消息,据媒体报道,美国网络安全公司ZecOps的研究人员当地时间周三宣布,他们在苹果iPhone和iPad电子邮件应用程序中发现了两个零日漏洞。
研究人员说,这两种漏洞的变种甚至可以追溯到2012年发布的iOS 6,这意味着黑客利用它们攻击iPhone和iPad用户长达8年之久。如果设备被感染,用户甚至不知道自己被黑客攻击。螺杆泵
第一个漏洞允许黑客通过发送消耗大量内存的电子邮件来感染iOS设备。它不会给用户带来太大的风险,只允许攻击者泄露、修改或删除电子邮件。但即使是最新版本的iOS,它们仍然有效,黑客可以使用电子邮件应用程序访问任何内容,包括机密消息。不锈钢磁力泵
第二个漏洞使用苹果的MobileMail和Mailid进程运行远程代码。再加上另一个内核攻击(例如无法修补的Checkm8漏洞),此漏洞可使攻击者以超级用户身份访问特定目标设备。
ZecOps在报告中发现,一些客户已经成为目标。有趣的是,尽管有证据表明这些漏洞是在目标设备上执行的,但电子邮件本身并不危险。这表明攻击者删除了这些电子邮件以掩盖其踪迹。计量泵
安全研究人员说,与其他黑客相比,该漏洞相对不完整,这意味着有经验的攻击者可能认为利用该漏洞处理重要目标风险太大。
然而,ZecOps指出,使用这些漏洞的攻击可能会增加,因为它们现在已经公开,这意味着正常用户可能最终成为攻击的目标。如果利用这些漏洞的网络罪犯可以利用其他漏洞,那么这种情况就变得更加危险。离心泵
这些漏洞只影响本地邮件应用程序,而不影响第三方应用程序。为了降低被攻击的风险,ZecOps建议用户在发布修补程序之前停止在iOS和iPadOS上使用邮件,并使用第三方电子邮件应用程序。排污泵
ZecOps说,它在2月份提醒了苹果这些漏洞。从那时起,这两个漏洞都已在最新的iOS 13测试版中修复,并将在iOS和iPadOS 13.4.5下一次公开发布的iOS更新中添加修补程序。
