来源:互联网 时间:2020-04-27 10:47:55
iOS 13中发现了一个新的软件漏洞,该漏洞可通过iPhone和iPad上的默认Mail应用程序运行。安全公司ZecOps声称,这两个漏洞之一是零点击漏洞,不需要用户干预,可以远程执行。该漏洞显然允许远程执行代码功能,并使攻击者可以通过发送占用大量内存的电子邮件来伤害设备。这也影响了最新的iOS 13公开测试版,但是Apple修复了最新的iOS 13.4.5 beta中的缺陷。
ZecOps说,它已经发现了在野外使用的攻击的证据,并相信已被广泛利用。攻击者向受害者发送电子邮件,从而使它能够触发iOS Mail应用程序中的漏洞。该报告说,黑客在使用发送的电子邮件访问目标设备后将其删除。“ 值得注意的是,尽管数据确认漏洞电子邮件是由受害者的iOS设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件是作为攻击的操作安全清除措施的一部分而有意删除的。”报告说。
但是,该漏洞的一个弱点是它需要相对较大的电子邮件,在某些情况下可以将其阻止。幸运的是,该漏洞利用方法不适用于Gmail或Outlook iOS应用,但尚不清楚发送到通过Apple Mail应用打开的Gmail地址的电子邮件是否也容易受到攻击。母板报告指出,ZecOps尚未找到用于大规模攻击的漏洞的证据,而是仅发送给目标攻击者。目前,在Apple发布iOS 13.4.5版本之前,唯一的解决方法是使用其他电子邮件客户端。
相关推荐
猜你喜欢
