Haavoittuvuus10/2020
Apple iOS Mail-sähköpostisovelluksessa on korjaamaton haavoittuvuus, jota käytetään aktiivisesti hyväksi kohdistetuissa hyökkäyksissä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa esimerkiksi sähköpostien lukemisen.
Päivitys 26.5.2020: Apple on julkaissut iOS-päivitykset (13.5 ja 12.4.7), jotka korjaavat ongelman.
Apple iPhone- ja iPad-tuotteissa olevassa iOS Mail-sähköpostisovelluksessa on löydetty korjaamaton haavoittuvuus, jota on havaittu käytettävän aktiivisesti hyväksi kohdistetuissa hyökkäyksissä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa hyökkääjän ohjelmakoodin suorittamisen sovelluksen oikeuksin, kuten esimerkiksi sähköpostien lukemisen.
Uudemmassa iOS 13 -käyttöjärjestelmäversiossa haavoittuvuuden hyväksikäyttöön ei tarvita käyttäjän toimia. Aikaisemmassa iOS 12 -käyttöjärjestelmäversiossa hyväksikäyttö edellyttää, että käyttäjä avaa saamansa haitallisen sähköpostin.
Tällä hetkellä haavoittuvuuteen ei ole saatavilla korjauspäivitystä. Rajoitustoimenpiteenä suositellaan käytettävän jotain muuta sähköpostisovellusta.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Matkaviestinjärjestelmät
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Kaikkien iOS-versioiden Mail-sähköpostisovellus
- MobileMail (iOS 12)
- maild (iOS 13)
Mistä on kysymys?
Päivitys saatavilla:
- iOS 13.5
- iOS 12.4.7