4月23日，位于美國舊金山的ZecOps安全公司公開了蘋果iPhone存在的郵件漏洞，該漏洞可能導(dǎo)致黑客遠(yuǎn)程入侵iPhone設(shè)備，達(dá)到修改、刪除iPhone數(shù)據(jù)的目的，對于該曝光的漏洞，蘋果官方也承認(rèn)其存在，并表示已經(jīng)要推出補(bǔ)丁來修復(fù)。

　　據(jù)說這次發(fā)現(xiàn)的郵件漏洞會影響iOS6 到iOS 13.4.1之間的所有軟件版本，涉及的iPhone數(shù)量達(dá)到了5億部之多。ZecOps表示，蘋果正在開發(fā)中的iOS 13.4.5系統(tǒng)已經(jīng)修補(bǔ)了上述的漏洞，而蘋果可能會在幾周之內(nèi)發(fā)布這個新系統(tǒng)來修復(fù)這個漏洞問題。對于暫時還未修復(fù)漏洞之前，這家安全公司ZecOps建議用戶們iPhone上使用第三方的郵件應(yīng)用，例如谷歌的Gmail或微軟Outlook。

　　有關(guān)這個漏洞的內(nèi)容，ZecOps還做了詳細(xì)的介紹，他們表示該漏洞允許遠(yuǎn)程執(zhí)行代碼功能，并使攻擊者能夠通過發(fā)送占用大量內(nèi)存的電子郵件來遠(yuǎn)程感染設(shè)備。該漏洞不一定需要大量電子郵件，而能夠消耗足夠內(nèi)存的常規(guī)電子郵件就足夠了。有很多方法可以實現(xiàn)這種資源耗盡，包括RTF，多部分方法和其他方法。

　　該漏洞可以在下載整個電子郵件之前觸發(fā)，因此電子郵件內(nèi)容不必保留在設(shè)備上。該團(tuán)隊不排除攻擊者成功攻擊后可能刪除了剩余電子郵件的可能性。

　　iOS13 上的漏洞觸發(fā)：在后臺打開郵件應(yīng)用程序時，不需要點擊也可以觸發(fā)攻擊;iOS12 上的漏洞觸發(fā)：需要單擊電子郵件才會觸發(fā)攻擊。攻擊將在呈現(xiàn)內(nèi)容之前觸發(fā)，用戶不會在電子郵件本身中發(fā)現(xiàn)任何異常。

　　這家安全公司強(qiáng)調(diào)至少自iOS 6之后這些漏洞就一直存在，他們最早發(fā)現(xiàn)這一漏洞是在2018 年 1 月在iOS 11.2. 2 上。

文章來源地址: http://1039flower.com/rdjj/111829.html