iOS 13 郵件軟體遭發現 2 個嚴重 0-day 漏洞,無需用戶操作即可導致駭侵者遠端執行任意程式碼.png

資安廠商 ZecOps 發表重量級研究報告指出,該公司發現 iOS 13 的內建郵件軟體 Mail.app 有兩個相當嚴重的 0-day 漏洞,可能已經遭駭侵者用以發動攻擊。

這兩個 0-day 漏洞之所以嚴重,在於其中有一個屬於無需用戶操作(0-click)類型,駭侵者只需寄送含有特製內容的 Email 給用戶,無需用戶打開 Email 進行操作,即可透過此一漏洞植入用戶的 iOS 裝置並開始執行。

ZecOps 指出,該公司已經發現這兩個漏洞有遭駭侵者大規模濫用的跡象,目標對象包括某些重要人士、各行各業的高階主,以及大公司的員工等等。

ZecOps 也說,在該公司觀察到的受害案例中,他們發現駭侵者一旦發現已成功透過 Email 駭入受害者手時,就會立即將該封惡意郵件自郵件伺服器與用戶的手機中刪除,以避免遭到追蹤。

ZecOps 說,他們認為發動這些攻擊的駭侵團體,很可能背後有某些國家勢力的支持,或是有專門僱用駭侵者的團體給予資助。

另一家資安公司 Trail of Bits 表示,透過這個漏洞發動駭侵攻擊用的惡意軟體,可能是在時間壓力下匆忙開發出來的初期版本,因為還必須寄送檔案體積很大的惡意郵件才可能感染 iOS 裝置;這種信件很容易被 GMail、Outlook 之類的郵件服務偵測並擋掉。

蘋果公司表示,已經在測試版的 iOS 13.4.5 Beta 中解決這兩個 0-day 漏洞,正式版也即將推送上線。待正式版上線後,用戶應立即更新其 iOS 裝置。

 

  • 影響版本:iOS 13.5 先前各版本
     
  • 解決方案:待 iOS 13.5.4 正式版推出後立即進行更新
     

  • 參考連結

https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

https://9to5mac.com/2020/04/22/report-iphone-mail-app-zero-day-exploits-found-in-the-wild-apple-has-fix-coming-in-next-public-ios-release/

https://www.vice.com/en_us/article/pken5n/iphone-email-zero-day-hack-in-the-wild

    twcert 發表在 痞客邦 留言(0) 人氣()