相对封闭的iOS系统一直以其安全性而闻名,但严格来说,信息安全领域没有绝对的安全性,甚至iOS也会存在漏洞。
例如,安全公司ZECOPS宣布了iOS系统的最新安全漏洞。从iOS 6到最新版本iOS 13.4.1均存在此安全漏洞。
经过评估,研究人员认为漏洞非常有害,因此他们已紧急联系Apple进行修复。
该漏洞允许远程执行代码,攻击者可以通过发送垃圾邮件来远程感染目标设备,并且用户在受到攻击时没有明显的感知。攻击者在尝试攻击和感染时不需要用户执行任何交互式操作。
攻击原理主要是通过邮件耗尽目标设备的内存来触发漏洞。有很多方法可以耗尽内存,例如邮件轰炸或恶意代码。
堆栈溢出漏洞被广泛使用,攻击者可以使用该漏洞触发甚至秘密感染目标设备,而无需从目标设备下载完整的电子邮件。
电子邮件的内容可以在不残留在设备上的情况下被利用,因此很难发现异常,攻击者还可以通过其他方式自动清除电子邮件。
在iOS 13.x系列上,只要系统自己的邮件应用程序在后台运行,在这种情况下,无需用户干预即可入侵攻击者。
在iOS 12.x系列上,攻击者需要用户打开垃圾邮件来利用此漏洞,但用户在打开电子邮件时不会发现任何异常。
如果攻击者能够控制邮件服务器,则即使iOS 12.x系列也不需要用户操作,即直接邮件可能会被感染。
该漏洞出现在2012年发布iPhone 5时发布的iOS 6.0版本中,并且该漏洞仍然存在于最新的iOS 13.4.1版本中。
据研究人员称,Apple已在iOS 13.4.5 Beta版本中修复了该漏洞,但该版本尚未推送到官方渠道。
建议用户不要使用iOS系统随附的邮件应用程序。第三方邮件应用程序(例如Outlook和Gmail)的使用不会受到影响。
另外,苹果公司已经在后端服务器上部署了缓解措施,应该能够拦截目标恶意邮件,但这只是一个临时解决方案。
可以在没有用户交互的情况下被iOS系统感染的漏洞的购买价通常在100万美元左右。这次发现了这种非交互式漏洞。
不幸的是,经过长时间的调查,安全公司发现该漏洞至少自2018年1月以来就已经被利用,并且已经形成了相当广泛的攻击。
黑客的目标包括北美的财富500强企业家,日本航空公司的高管,德国的VIP,沙特阿拉伯和以色列的安全公司以及欧洲新闻工作者。
此外,该安全公司的调查还显示,瑞士公司高管也可能成为黑客的目标,但在现阶段,没有足够的证据确定攻击是否成功。
从以上攻击目标来看,此漏洞的价值已远远超过一百万美元,甚至可以毫不夸张地说,该漏洞的应用价值已超过一亿美元。
经过有针对性的分析,安全研究人员发现Apple Mail漏洞主要是由于库缺少用于系统级调用的必要错误检查过程所致。
漏洞可能导致越界写入,并且还存在一个远程触发的堆栈溢出问题,因此,实际上,这由两个漏洞组成,并且都被利用。
出于安全原因,研究人员没有透露该漏洞的更多细节,但研究人员分享了iPhone受到攻击时发生的情况。
如果在iOS 12.x系列上收到攻击者发送的电子邮件,则邮件应用程序可能会崩溃。这是迄今为止已知的唯一异常表现。
在iOS 13.x系列上接收电子邮件的用户可能会突然发现在打开电子邮件时系统被卡住了,他们会发现系统提示消息中没有内容。
对代码级分析感兴趣的用户可以单击此处查看。Apple完全修复了漏洞后,研究人员应宣布更多详细信息。
css按钮点击样式,css checked样式,仅用html与css,css实现元素缓慢消失,dwcc中css规则定义,css中table边框部分缺失,改变文本框的底色css