Korjaamaton haavoittuvuus iOS Mail-sähköpostisovelluksessa

Apple iOS Mail-sähköpostisovelluksessa on korjaamaton haavoittuvuus, jota käytetään aktiivisesti hyväksi kohdistetuissa hyökkäyksissä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa esimerkiksi sähköpostien lukemisen.

Päivitys 26.5.2020: Apple on julkaissut iOS-päivitykset (13.5 ja 12.4.7), jotka korjaavat ongelman.

Apple iPhone- ja iPad-tuotteissa olevassa iOS Mail-sähköpostisovelluksessa on löydetty korjaamaton haavoittuvuus, jota on havaittu käytettävän aktiivisesti hyväksi kohdistetuissa hyökkäyksissä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa hyökkääjän ohjelmakoodin suorittamisen sovelluksen oikeuksin, kuten esimerkiksi sähköpostien lukemisen.

Uudemmassa iOS 13 -käyttöjärjestelmäversiossa haavoittuvuuden hyväksikäyttöön ei tarvita käyttäjän toimia. Aikaisemmassa iOS 12 -käyttöjärjestelmäversiossa hyväksikäyttö edellyttää, että käyttäjä avaa saamansa haitallisen sähköpostin.

Tällä hetkellä haavoittuvuuteen ei ole saatavilla korjauspäivitystä. Rajoitustoimenpiteenä suositellaan käytettävän jotain muuta sähköpostisovellusta.

Haavoittuvuuden kohde

Kaikkien iOS-versioiden Mail-sähköpostisovellus

MobileMail (iOS 12)
maild (iOS 13)

Mistä on kysymys?

Päivitys saatavilla:

iOS 13.5
iOS 12.4.7

Mitä voin tehdä?

Korjaukseen liittyen

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.