網(wǎng)易科技訊4月23日消息，據(jù)媒體報(bào)道，美國(guó)網(wǎng)絡(luò)安全公司ZecOps的研究人員當(dāng)?shù)貢r(shí)間周三宣布，他們?cè)谔O(píng)果iPhone和iPad電子郵件應(yīng)用程序中發(fā)現(xiàn)了兩個(gè)零日漏洞。

研究人員說(shuō)，這兩種漏洞的變種甚至可以追溯到2012年發(fā)布的iOS 6，這意味著黑客利用它們攻擊iPhone和iPad用戶(hù)長(zhǎng)達(dá)8年之久。如果設(shè)備被感染，用戶(hù)甚至不知道自己被黑客攻擊。螺桿泵

第一個(gè)漏洞允許黑客通過(guò)發(fā)送消耗大量?jī)?nèi)存的電子郵件來(lái)感染iOS設(shè)備。它不會(huì)給用戶(hù)帶來(lái)太大的風(fēng)險(xiǎn)，只允許攻擊者泄露、修改或刪除電子郵件。但即使是最新版本的iOS，它們?nèi)匀挥行?，黑客可以使用電子郵件應(yīng)用程序訪問(wèn)任何內(nèi)容，包括機(jī)密消息。不銹鋼磁力泵

第二個(gè)漏洞使用蘋(píng)果的MobileMail和Mailid進(jìn)程運(yùn)行遠(yuǎn)程代碼。再加上另一個(gè)內(nèi)核攻擊（例如無(wú)法修補(bǔ)的Checkm8漏洞），此漏洞可使攻擊者以超級(jí)用戶(hù)身份訪問(wèn)特定目標(biāo)設(shè)備。

ZecOps在報(bào)告中發(fā)現(xiàn)，一些客戶(hù)已經(jīng)成為目標(biāo)。有趣的是，盡管有證據(jù)表明這些漏洞是在目標(biāo)設(shè)備上執(zhí)行的，但電子郵件本身并不危險(xiǎn)。這表明攻擊者刪除了這些電子郵件以掩蓋其蹤跡。計(jì)量泵

安全研究人員說(shuō)，與其他黑客相比，該漏洞相對(duì)不完整，這意味著有經(jīng)驗(yàn)的攻擊者可能認(rèn)為利用該漏洞處理重要目標(biāo)風(fēng)險(xiǎn)太大。

然而，ZecOps指出，使用這些漏洞的攻擊可能會(huì)增加，因?yàn)樗鼈儸F(xiàn)在已經(jīng)公開(kāi)，這意味著正常用戶(hù)可能最終成為攻擊的目標(biāo)。如果利用這些漏洞的網(wǎng)絡(luò)罪犯可以利用其他漏洞，那么這種情況就變得更加危險(xiǎn)。離心泵

這些漏洞只影響本地郵件應(yīng)用程序，而不影響第三方應(yīng)用程序。為了降低被攻擊的風(fēng)險(xiǎn)，ZecOps建議用戶(hù)在發(fā)布修補(bǔ)程序之前停止在iOS和iPadOS上使用郵件，并使用第三方電子郵件應(yīng)用程序。排污泵

ZecOps說(shuō)，它在2月份提醒了蘋(píng)果這些漏洞。從那時(shí)起，這兩個(gè)漏洞都已在最新的iOS 13測(cè)試版中修復(fù)，并將在iOS和iPadOS 13.4.5下一次公開(kāi)發(fā)布的iOS更新中添加修補(bǔ)程序。