德国联邦网络安全机构27日敦促iOS用户立即安装Apple公司在5月20日发布的iOS和iPadOS安全更新,以修复两个遭到利用的零点击安全漏洞,这两个漏洞影响默认的邮件应用。
德国联邦信息安全办公室(BSI)称,“由于漏洞的严重程度,BSI建议立即在所有受影响的系统上安装各自的安全更新。”
网络安全初创公司ZecOps发现针对iOS用户的攻击后公开了这两个漏洞(公开时为0-day漏洞),这些攻击至少自2018年1月就已开始。
这两个零点击漏洞一个为内存耗尽漏洞(CVE-2020-9819),该漏洞可导致堆损坏,另一个为越界写入漏洞(CVE-2020-9818),该漏洞可导致非预期的内存修改或应用程序终止。攻击者可通过Mailapp处理恶意构造的邮件信息触发这两个安全漏洞。
Apple公司通过在iOS13.5版本和iPadOS 13.5版本中改善内存处理和边界检查方式修复了这两个漏洞。
ZecOps公司当时称,“我们认为这些攻击与至少一个国家威胁行为体或一个国家有关,该国家威胁行为体或国家从第三方研究人员处购买PoC级的漏洞利用,并按该PoC原样或经过微小修改利用这两个漏洞。”
幸运的是,ZecOps提及的攻击以知名人士为目标,这表示在这两个漏洞的利用代码落入野心较小的威胁行为体手中之前,普通用户不会直接受到攻击。
根据iOS13.5安全更新公告,ZecOps发现的这两个漏洞影响iPhone6s及之后版本,iPad Air 2及之后版本,iPadmini 4 及之后版本,和 iPod touch第7代。
基于ZecOps对这两个漏洞的分析,运行iOS3.1.3版本至13.4.1版本的所有设备都暴露在潜在的攻击风险之中。远程攻击者可利用漏洞在已入侵的iPhone和iPad设备上运行代码,从而访问、泄露、编辑和删除电子邮件。
ZecOps公司的创始人兼CEO表示,这两个漏洞自第一个iPhone(iPhone1 / iPhone 2G),至少自iOS 3.1.3就已存在。
ZecOps的研究人员声称这些攻击正在进行,在ZecOps披露他们的发现后,Apple公司在一份正式的声明中驳斥了研究人员的说法,认为这些漏洞没有对用户造成直接的风险,且尚未发现证据证明这些漏洞被用于攻击用户。
本文源自Bleeping Computer;转载请注明出处。