iPhone设备零日漏洞,5亿用户面临攻击
一般而言,由于iPhone设备的不越狱性,致使苹果设备比安卓设备更安全,因而iPhone设备备受用户欢迎。但近日,一个网络安全公司表示iPhone/iPad邮件应用中存在漏洞,并且该漏洞可能已被黑客暗中利用8年,涉及5亿苹果手机用户正面临易受黑客攻击的风险。
该漏洞是在在去年年,通过对客户受到的复杂网络攻击进行调查时发现的,并且至少有6次网络安全入侵活动利用了这个漏洞。
对此,苹果公司回应称,iPhone/iPad邮件应用中确实存在漏洞,但尚未发现黑客利用邮件应用漏洞对iPhone/iPad进行网络攻击。
因此,目前来看该漏洞不会对用户造成影响,这是因为黑客还无法利用它们绕过iPhone/iPad内部的安全机制。此外,截至目前也没有发现有实质用户遭受攻击的证据。
当心空白邮件
攻击者利用邮件应用漏洞利用可以通过发送空白电子邮件的方式,导致iPhone、iPad的邮箱应用闪退并重启,从而使得黑客可以强制在目标手机上执行任意代码,这就为攻击者窃取设备上的数据打开方便之门,比如盗取用户照片和获取联系方式等。
即使运行着最新的 iOS 版本,该漏洞仍然允许攻击者远程窃取 iPhone 数据。只要是邮件应用可以访问的,漏洞均能访问,包括设备中的机密信息。
对此苹果公司回应表示,对于该漏洞的修复正在计划开发修复程序,并将很快准备发布一个安全更新。此外,据悉在iOS 13.4.5测试版中,已经修复上述BUG,正式版会在未来几周内公开。
漏洞介绍
iPhone/iPad设备中存在的漏洞属于零日漏洞,并且这两个零日漏洞位于苹果邮件应用程序使用的 MIME 库中。一个漏洞会造成越界读写错误,另一个漏洞会触发堆溢出错误。并且,这两个漏洞都是在野外触发的。
相比第一个漏洞,第二个漏洞危害更大。因为后者可以实现零点击利用,无需用户与苹果邮箱应用交互。一旦用户收到邮件或打开苹果 Mail App,攻击即被触发。漏洞允许在 iOS 12 或 iOS 13 中执行远程代码,对漏洞的成功利用将允许攻击者泄露、修改和删除受害者设备中的邮件。
具体而言,在 iOS 12 系统中,用户需要先点击电子邮件才能触发该漏洞,但是如果攻击者控制了邮件服务器,则无需点击邮件就能实现攻击;在 iOS 13 系统上,一旦在后台打开苹果 Mail 应用程序,就能实现零点击攻击。
建议
iOS用户需要防范这种攻击。由于漏洞对 Gmail 或其他邮件客户端没有任何影响,因此建议用户不要使用内置邮件应用,可以使用其他邮箱应用,比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等。此外,一旦iOS 13.4.5立即可用,用户最好立刻下载安装最新系统。
点击查看往期内容回顾
网络黑产成商品明码标价,受害者不仅游戏行业
数千家企业被约谈处理,网站内容注意这些方面
长按二维码,关注我们
新睿云,让云服务触手可及
云主机|云存储|云数据库|云网络
iPhone设备零日漏洞,5亿用户面临攻击相关推荐
- 波及Win 11,让安全员自动放弃的零日漏洞,微软这次麻烦了
8 月 23 日微软刚刚修复了名为"PrintNightmare"高危零日漏洞,当用户插入 Razer(雷蛇)鼠标或者键盘时,黑客有可能获得 Windows 管理员权限. 屋漏偏逢 ...
- 苹果在旧设备中修复了两个 iOS 零日漏洞
Apple 6/14 发布了安全更新,以解决两个零日漏洞,这些漏洞在野外被利用来破解老一代 iPhone 和 iPad. 这两个漏洞(编号为 CVE-2021-30761 和 CVE-2021-307 ...
- Chrome用户请尽快更新:谷歌发现两个严重的零日漏洞
强烈建议:Chrome用户请尽快升级浏览器!在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞,而其中一个已经被黑客利用.Chrome安全小组表示,这两个漏洞均为use-after-free形式, ...
- 所有 Windows 用户请注意:该高危零日漏洞已被利用 7 周
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 所有 Windows 用户请注意:有一个高危零日漏洞已存在至少 7 周,有相关证据表明该漏洞已被黑客利用,借此在用户设备上"悄 ...
- 苹果零日漏洞利用市售800万欧元
苹果移动操作系统iOS零日漏洞利用可致远程代码执行,市售800万欧元. 苹果零日漏洞可造成巨大破坏 由于以色列网络情报公司NSO Group备受争议的"飞马"(Pegasus)解决 ...
- 仅10天修复3个零日漏洞 苹果是真的拼了命
<名利场>最近刊文介绍了零日漏洞及其背后的黑市交易(主要卖给政府).介绍这些漏洞如何被用于进行间谍活动,以及这整个"行业"是如何形成的.其实说到零日漏洞,相信大部分 i ...
- 谷歌发现利用零日漏洞的攻击、黑客通过漏洞入侵红十字会|2月17日全球网络安全热点
安全资讯报告 新加坡将加强网络钓鱼诈骗后的安全措施 新加坡正在加强安全措施,以支持当地的银行和通信基础设施,其中包括短信服务提供商需要在发送消息之前检查注册表.预计银行还将开发"更通用&qu ...
- 黑客入侵微软邮件服务器、Windows零日漏洞可获管理员权限|11月23日全球网络安全热点
安全资讯报告 经济日报:筑牢数据安全防护网 由国家互联网信息办公室会同相关部门研究起草的<网络数据安全管理条例(征求意见稿)>对外公布.这是国家加强网络数据法治化的又一重要举措,对数据处理 ...
- 黑客狂野利用零日漏洞:小米三星也中招,安卓手机最易受此漏洞的攻击?
零日漏洞的另一个启示,这次是在全球使用最广泛的移动操作系统Android中.黑客无处不在,知名网络安全专家,东方联盟创始人郭盛华还发现了Android 0day漏洞的狂野利用,这是臭名昭著的,因为它向 ...
最新文章
- 创建 tls 客户端 凭据时发生严重错误。内部错误状态为 10013_kubectl 创建 Pod 背后到底发生了什么?...
- Eclipse Java类编辑器里出现乱码的解决方案
- 《计算机网络》_学习笔记(一)
- Linux 系统创建.sh文件以及赋权、执行
- 如何查看华为服务器配置信息,华为服务器查看配置
- GenerateResource”任务意外失败的解决方法
- 烫烫烫和屯屯屯2021
- 20160319中艺收盘总结
- Tensorflow自编码器及多层感知机
- CF984C Finite or not?
- 华硕FX63VM笔记本bios如何设置U盘启动
- 隐藏Ubuntu 18.04 顶部通知栏( hide top bar)
- 庆祝EDA夺冠之余,我们来讨论讨论程序员一般想要new一个什么样的对象
- word编辑文字时光标随意跳动问题
- (激励自己学习)努力吧,现在也不晚(转)
- 华为2021软件精英挑战赛复赛赛后方案分享
- SpringCloud从入门到精通(超详细文档)
- 引水工程 Kruskal + Prim
- 一些常用的网址,分享给需要的朋友
- linux hub设备,linux usb hub初始化