更新时间:2021-09-15 18:09:09
iOS 13中发现了一个新的软件漏洞,可以通过iPhone和iPad上的默认Mail应用程序运行。安全公司ZecOps声称,这两个漏洞之一是零点击漏洞,可以在没有用户干预的情况下远程执行。该漏洞显然允许远程代码执行,并允许攻击者通过发送占用大量内存的电子邮件来伤害设备。这也影响了最新的iOS 13公测版,但苹果修复了最新iOS 13.4.5公测版的缺陷。
ZecOps表示,它已经发现了在野外使用攻击的证据,并相信它已经被广泛使用。攻击者向受害者发送电子邮件,这样就可以触发iOS Mail应用程序中的漏洞。根据报告,黑客利用发送的电子邮件访问目标设备,然后将其删除。“值得注意的是,虽然数据确认漏洞电子邮件是由受害者的iOS设备接收和处理的,但原本应该接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断,这些电子邮件是作为攻击的操作安全检查措施的一部分而被故意删除的。”报告说。
然而,该漏洞的一个弱点是它需要相对较大的电子邮件,在某些情况下可能会被阻止。幸运的是,这种利用方法不适用于Gmail或Outlook iOS应用程序,但不清楚发送到通过苹果邮件应用程序打开的Gmail地址的电子邮件是否也容易受到攻击。该报告指出,ZecOps没有发现大规模攻击漏洞的证据,只是将漏洞发送给了目标攻击者。目前,在苹果发布IOs 13 . 4 . 5版本之前,唯一的解决方案就是使用其他邮件客户端。