網(wǎng)易科技訊 4月23日消息，據(jù)外媒報道，美國網(wǎng)絡(luò)安全公司ZecOps的研究人員于當(dāng)?shù)貢r間周三宣布，他們在蘋果iPhone和iPad的電子郵件應(yīng)用程序中發(fā)現(xiàn)了兩個零日漏洞。

研究人員說，這兩個漏洞的變體甚至可以追溯到2012年發(fā)布的iOS 6身上，這意味著黑客已經(jīng)利用它們對iPhone和iPad用戶進(jìn)行了長達(dá)八年的攻擊。如果設(shè)備被感染，用戶甚至不知道他們正在被黑客攻擊。

第一個漏洞允許黑客通過發(fā)送消耗大量內(nèi)存的電子郵件來感染iOS設(shè)備，它本身并不會給用戶帶來太大風(fēng)險，只允許攻擊者泄露、修改或刪除電子郵件。但它們在即便是最新版本的iOS中也依然有效，黑客利用郵件應(yīng)用程序可以訪問的任何內(nèi)容，包括機(jī)密消息。

第二個漏洞則利用蘋果的MobileMail和Mailid進(jìn)程來運(yùn)行遠(yuǎn)程代碼。與另一種內(nèi)核攻擊(如無法打補(bǔ)丁的Checkm8漏洞)相結(jié)合，這個漏洞可能會允許攻擊者以超級用戶身份訪問特定目標(biāo)設(shè)備。

ZecOps在其報告中發(fā)現(xiàn)，有些客戶已經(jīng)成為目標(biāo)。有趣的是，雖然有證據(jù)表明這些漏洞是在目標(biāo)設(shè)備上執(zhí)行的，但電子郵件本身并不存在危險。這表明襲擊者刪除這些電子郵件是為了掩蓋他們的蹤跡。

安全研究人員表示，與其他黑客相比，該漏洞相對來說還不夠完善，這意味著經(jīng)驗(yàn)豐富的攻擊者可能會認(rèn)為，使用該漏洞對付重要目標(biāo)風(fēng)險太大。

盡管如此，ZecOps指出，使用這些漏洞的攻擊可能會增加，因?yàn)樗鼈儸F(xiàn)在被公開披露，這意味著正常用戶最終也可能成為攻擊目標(biāo)。如果利用這些漏洞的網(wǎng)絡(luò)犯罪分子可以利用額外的漏洞，那么這種情況就會變得更加危險。

這些漏洞只影響本地郵件應(yīng)用程序，而不影響第三方應(yīng)用程序。為了降低遭到攻擊的風(fēng)險，ZecOps建議用戶在發(fā)布補(bǔ)丁之前停止使用iOS和iPadOS上的Mail，轉(zhuǎn)而使用第三方電郵應(yīng)用。

ZecOps表示，它在2月份提醒蘋果注意這些漏洞。自那以后，這兩個漏洞都已經(jīng)在iOS 13的最新測試版中得到了修復(fù)，iOS和iPadOS 13.4.5的下一次公開發(fā)布的iOS更新中也將添加補(bǔ)丁。（小?。?/p>