阿里安全团队揭示新威胁:恶意邮件可能导致 macOS/iOS 系统瞬间崩溃!
发布时间:2025-07-31 18:46:40 | 责任编辑:吴昊 | 浏览量:18 次
近日,阿里安全团队与美国印第安纳大学伯明顿分校合作,揭示了一种新的安全威胁:只需一封恶意邮件,就能让 macOS 和 iOS 系统瞬间死机!这一研究成果的基础是畸形的 X.509证书,这种证书被攻击者利用,能够在密码算法库中触发拒绝服务(DoS)漏洞。
X.509证书是互联网世界中验证身份和保护数据安全的关键工具。它们被用作 “身份证”,由可信的机构颁发,用于确保通信双方的身份真实且信息传输安全。然而,阿里安全团队发现,这些证书在处理过程中可能成为攻击者的目标。
研究人员在六个主流的开源密码库中进行了实验,包括 OpenSSL 和 Bouncy Castle 等,发现了18个新漏洞,并识别出12个已知漏洞。通过发送包含畸形 X.509证书的恶意邮件(称为 “香蕉邮件” 攻击),攻击者可以使得用户系统在处理证书时耗尽资源,从而导致系统无响应。
这一问题尤其严重,因为现代操作系统使用这些证书进行应用程序的签名验证。如果攻击成功,系统中的其他应用程序将无法正常运行,给用户造成极大不便。研究团队强调,现有的安全研究往往忽视了可用性问题,而他们的工作首次针对这一领域进行了系统性的分析。
为了应对这一威胁,研究人员开发了一款名为 X.509DoSTool 的自动化工具,可以快速生成畸形证书并检测加密库中的 DoS 漏洞。同时,他们还提出了针对这些漏洞的缓解策略,以增强系统的安全性。
这一研究成果已在 USENIX Security’25会议上发布,并获得 “黑客界奥斯卡” 提名,显示了其重要性与影响力。随着网络安全威胁的不断演化,用户和开发者都应提高警惕,关注这些潜在的安全风险。
阿里安全最新研究揭示:恶意邮件可通过包含畸形X.509证书链的S/MIME加密邮件攻击(名为Banana Mail攻击),使macOS/iOS系统在验证证书链过程中因资源耗尽而瞬间瘫痪,无需收件人进行任何操作。该研究由阿里安全与美国印第安纳大学伯明顿分校联合完成,相关成果已发表于USENIX Security’25会议,并获得“黑客界奥斯卡”Pwnie Awards提名。此外,研究者还发现了Apple Security算法库中的CVE-2024-54538漏洞,并开发了X.509DoSTool自动化工具用于检测相关DoS漏洞。
本网站(https://aigc.izzi.cn)刊载的所有内容,包括文字、图片、音频、视频等均在网上搜集。
访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务用于其他用途时,须征得本网站及相关权利人的书面许可,并支付报酬。
本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,予以删除。