Apple в четверг отреагировала на сообщения об обнаружении двух уязвимостей нулевого дня, обнаруженных в ее приложении Mail для iOS, заявив, что исправленные недостатки не представляют непосредственной угрозы для пользователей.
В среду охранная фирма ZecOps опубликовала отчет, в котором утверждается об обнаружении двух ранее неизвестных уязвимостей Mail, которые, в случае их использования, позволяют злоумышленникам получать удаленный доступ, изменять или удалять электронные письма пользователей.
Как сообщили ZecOps, злоумышленники могут использовать ошибку iOS, отправляя специально созданные сообщения электронной почты, которые вызывают сбои, позволяя им запускать удаленный код. В то время как атака требует, чтобы пользователь щелкнул вредоносную электронную почту в iOS 12, она становится вектором нулевого щелчка или без него, когда Mail открывается в фоновом режиме в iOS 13.
Начиная с iOS 6, уязвимости были вызваны в дикой природе как часть целевых атак, включая людей из компании Fortune 500, руководителя в Японии, VIP в Германии, управляемых поставщиков услуг безопасности в Саудовской Аравии и Израиле, а также Европейский журналист, сказал ZecOps.
Apple в четверг опровергла серьезность ситуации в заявлении Блумберга Марка Гурмана, который впоследствии поделился официальным ответом компании в чирикать,
Apple серьезно относится ко всем сообщениям об угрозах безопасности. Мы тщательно изучили отчет исследователя и на основании предоставленной информации пришли к выводу, что эти проблемы не представляют непосредственного риска для наших пользователей. Исследователь выявил три проблемы в Mail, но одних из них недостаточно для обхода средств защиты iPhone и iPad, и мы не нашли никаких доказательств того, что они использовались против клиентов.
Apple также заявила, что ценит вклад независимых исследователей в области безопасности, которые помогают сделать iOS безопасным, и в будущем будет отдавать должное человеку, обнаружившему уязвимость. Компания обычно выпускает обновление для системы безопасности с каждым выпуском программного обеспечения, чтобы детализировать исправленные ошибки и выявлять исследователей безопасности или исследовательские группы, которые их обнаружили.
Согласно ZecOps, последняя бета-версия Apple iOS 13.4.5 исправляет обнаруженные уязвимости.