4月23日,位于美国旧金山的ZecOps安全公司公开了苹果iPhone存在的邮件漏洞,该漏洞可能导致黑客远程入侵iPhone设备,达到修改、删除iPhone数据的目的,对于该曝光的漏洞,苹果官方也承认其存在,并表示已经要推出补丁来修复。
据说这次发现的邮件漏洞会影响iOS6 到iOS 13.4.1之间的所有软件版本,涉及的iPhone数量达到了5亿部之多。ZecOps表示,苹果正在开发中的iOS 13.4.5系统已经修补了上述的漏洞,而苹果可能会在几周之内发布这个新系统来修复这个漏洞问题。对于暂时还未修复漏洞之前,这家安全公司ZecOps建议用户们iPhone上使用第三方的邮件应用,例如谷歌的Gmail或微软Outlook。
有关这个漏洞的内容,ZecOps还做了详细的介绍,他们表示该漏洞允许远程执行代码功能,并使攻击者能够通过发送占用大量内存的电子邮件来远程感染设备。该漏洞不一定需要大量电子邮件,而能够消耗足够内存的常规电子邮件就足够了。有很多方法可以实现这种资源耗尽,包括RTF,多部分方法和其他方法。
该漏洞可以在下载整个电子邮件之前触发,因此电子邮件内容不必保留在设备上。该团队不排除攻击者成功攻击后可能删除了剩余电子邮件的可能性。
iOS13 上的漏洞触发:在后台打开邮件应用程序时,不需要点击也可以触发攻击;iOS12 上的漏洞触发:需要单击电子邮件才会触发攻击。攻击将在呈现内容之前触发,用户不会在电子邮件本身中发现任何异常。
这家安全公司强调至少自iOS 6之后这些漏洞就一直存在,他们最早发现这一漏洞是在2018 年 1 月在iOS 11.2. 2 上。
来源:http://www.hnsbao.com/