iPhone 安全漏洞:iOS 6以上设备全中招,你的邮件App得禁用

最新曝光,来自国外安全团队ZecOps公布了一个惊天大漏洞,估测涉及5亿用户——除非你在用的是运行iOS 5的iPhone 4s或者更低版本的iPhone。

 

最新曝光,来自国外安全团队ZecOps公布了一个惊天大漏洞,估测涉及5亿用户——除非你在用的是运行iOS 5的iPhone 4s或者更低版本的iPhone。
更可怕的是,这个漏洞不需要用户任何点击,只要给用户发送一封电子邮件,甚至邮件还在下载过程中,就能触发漏洞攻击。
但鬼故事还在后面。该团队发现最早的攻击行为出现了2018年1月,也就是说黑客已经肆无忌惮地利用这个漏洞攻击了两年。而且苹果只能等到下一次iOS更新才能彻底堵上它。
中毒后会有什么症状?
除了手机邮件App暂时的速度下降之外,用户一般不会观察到任何其他的异常行为。黑客在iOS 12上尝试利用漏洞后,用户可能会遭遇邮件App突然崩溃的现象,之后会在收件箱里看到“此消息无内容”这样的邮件。而在iOS13上,攻击更为隐蔽。如果黑客在攻击成功后再进行一次攻击,还能删除电子邮件,用户看不到任何迹象。不过,ZecOps团队发现,黑客攻击的目标主要集中在企业高管和国外记者的设备上,如果你不在此列,暂时不必过于担心。
漏洞是什么?
这一漏洞可以允许执行远程代码,通过向设备发送占用大量内存的电子邮件使其感染。另外有很多方法可以耗尽iPhone的内存资源,比如发送RTF文档。ZecOps发现,导致这一攻击成功的原因是,MFMutableData在MIME库中的实现,缺少对系统调用的错误检查,ftruncate()会导致越界写入。
他们找到了一种无需等待系统调用失败,即可触发OOB写入的方法,还发现了可以远程触发的栈溢出漏洞。OOB写入错误和堆溢出错误,都是由这样一个相同的问题导致的:未正确处理系统调用的返回值。
如何补救?
其实,在今年的2月份,ZecOps就向苹果公司报告可疑漏洞。3月31日,ZecOps确认了第二个漏洞存在于同一区域,并且有远程触发的能力。
4月15日,苹果公司发布了iOS13.4.5 beta 2版,其中包含了针对这些漏洞的补丁程序,修复了这两个漏洞。
如果没有办法下载安装beta 2版的话,那就尽量别使用苹果自带的邮件App了。注意!后台运行也不可以哦~一定要禁用这款原装程序才行。也是时候试试其他邮箱了。比如新网企业邮箱……
 

免责声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,请发送邮件至:operations@xinnet.com进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

相关文章

免费咨询获取折扣