以下是一些該報告摘要:
- 該漏洞影響最嚴重之處是可經由遙距程式執行,從惡意電子郵件感染該裝置;
- 該漏洞並不需要經由大容量的電子郵件來擠爆記憶體,小電郵一樣可以控制 RAM 資源,從而經由 RTF 或其他方法執行控制;
- 這些漏洞都是可從外間觸發;
- 該漏洞可以在整個電子郵件下載完成之前觸發,因此電子郵件內容不需要保留在裝置裡;
- 有可能攻擊者成功攻擊後,可隨即刪除電子郵件;
- 在 iOS 13 上,只要郵件程式在背景執行時,用戶不需有任何動作亦可以觸發漏洞 ;
- 在 iOS 12 上,攻擊需要用戶點擊惡意電子郵件來觸發,不過就可以在呈現郵件內容之前啟動,用戶是不會察覺異常的;另外,如果攻擊者控制了郵件伺服器,則可以在不需要用戶任何動作之下發動的攻擊;
- 這個漏洞自 2012 年 9 月發表的 iPhone 5 所用的 iOS 6 便已存在;
- 根據研究人員觀察,這漏洞第一次觸發是在 2018 年 1 月的 iOS 11.2.2 上。
該網站同時估計,這次漏洞會顯著影響的目標用戶包括:北美 500 強企業個人用戶、日本某航空公司的高級主管、德國的重要用戶、沙特阿拉伯和以色列的 MSSP 、歐洲記者等。此外,該攻擊只是存在於 iOS ,並不會在 macOS 上觸發。據知, iOS 13.4.5 將會修正有關漏洞, Apple 日前已經發佈該版本的公測版。有網站建議使用者於 Apple 未正式公布更新修補漏洞前,停用 iOS 預設電郵程式,改由直接登入電郵網頁讀取程式。
資來源源: Zecops