4月23日消息，据外媒报道，美国网络安全公司ZecOps的研究人员于当地时间周三宣布，他们在苹果iPhone和iPad的电子邮件应用程序中发现了两个零日漏洞。

研究人员说，这两个漏洞的变体甚至可以追溯到2012年发布的iOS 6身上，这意味着黑客已经利用它们对iPhone和iPad用户进行了长达八年的攻击。如果设备被感染，用户甚至不知道他们正在被黑客攻击。

第一个漏洞允许黑客通过发送消耗大量内存的电子邮件来感染iOS设备，它本身并不会给用户带来太大风险，只允许攻击者泄露、修改或删除电子邮件。但它们在即便是最新版本的iOS中也依然有效，黑客利用邮件应用程序可以访问的任何内容，包括机密消息。

第二个漏洞则利用苹果的MobileMail和Mailid进程来运行远程代码。与另一种内核攻击(如无法打补丁的Checkm8漏洞)相结合，这个漏洞可能会允许攻击者以超级用户身份访问特定目标设备。

ZecOps在其报告中发现，有些客户已经成为目标。有趣的是，虽然有证据表明这些漏洞是在目标设备上执行的，但电子邮件本身并不存在危险。这表明袭击者删除这些电子邮件是为了掩盖他们的踪迹。

安全研究人员表示，与其他黑客相比，该漏洞相对来说还不够完善，这意味着经验丰富的攻击者可能会认为，使用该漏洞对付重要目标风险太大。

尽管如此，ZecOps指出，使用这些漏洞的攻击可能会增加，因为它们现在被公开披露，这意味着正常用户最终也可能成为攻击目标。如果利用这些漏洞的网络犯罪分子可以利用额外的漏洞，那么这种情况就会变得更加危险。

这些漏洞只影响本地邮件应用程序，而不影响第三方应用程序。为了降低遭到攻击的风险，ZecOps建议用户在发布补丁之前停止使用iOS和iPadOS上的Mail，转而使用第三方电邮应用。

ZecOps表示，它在2月份提醒苹果注意这些漏洞。自那以后，这两个漏洞都已经在iOS 13的最新测试版中得到了修复，iOS和iPadOS 13.4.5的下一次公开发布的iOS更新中也将添加补丁。