iOS Mail应用零日漏洞被发现

安全小组ZecOps在iOS的Mail应用程序中发现了两个零日漏洞。其中一个漏洞使攻击者可以通过发送占用大量内存的电子邮件来远程感染iOS设备,而另一个漏洞则可以允许远程执行代码功能。据说成功利用这些漏洞可以使攻击者泄漏,修改和删除用户的电子邮件。

攻击的范围包括向受害者的邮箱发送特制电子邮件,使其能够在iOS 12上的iOS MobileMail应用程序或在iOS 13上发送的邮件中触发该漏洞。就其本身而言,这些缺陷不会给用户带来太大的风险,它们只会使攻击者泄漏,修改或删除电子邮件。但是,与另一种内核攻击(例如不可修补的Checkm8漏洞)结合使用,这些漏洞可能允许actor根目录访问特定目标设备。

Apple已修补了最新的iOS 13.4.5 Beta中的漏洞,并且将在iOS和iPadOS 13.4.5的下一个公开可用的iOS更新中修复此问题。该漏洞仅适用于默认的Apple Mail应用程序,不适用于Gmail或Outlook。但是,如果您担心潜在的安全和隐私问题,则可以使用另一个电子邮件应用程序,直到iOS 13.4.5公开发布为止。