CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

30/08/2013

0day de denegación de servicio en dispositivos iOS/OSX

Publicado un código malicioso que aprovecha una vulnerabilidad 0day de denegación de servicio en varias versiones de dispositivos iOS/OSX

Riesgo: Crítico

La vulnerabilidad conocida afecta al framework de renderización de fuentes Apple CoreText utilizado por la plataforma para aplicaciones WebKit y que sirve como base para varios navegadores web.

Según la informacion publicada, cuando los dispositivos afectados reciben una cadena de texto en particular se produce una denegación de servicio que provoca el fallo del sistema.

La cadena de texto se puede recibir mediante un mensaje de texto en un teléfono iOS, un mensaje a través de iMessage, accediendo a una pagina web que muestre dicha cadena, o incluso a través del SSID de una red Wi-Fi.

Sistemas Afectados:

Según la informacion publicada, esta vulnerabilidad se produce en:

Mac OS 10.8.4 (Mountain Lion) e iOS 6.

Versiones Mac OS anteriores a 10.8 y versiones 10.9, e iOS versiones 7, no parecen afectadas por el problema.

Referencias:

None

Solución:

Actualmente no existe ninguna solución oficial a esta vulnerabilidad. En los dispositivos móviles, se recomienda deshabilitar los mensajes PUSH, mientras Apple publica una actualización que solucione el problema.

Notas:

Reporte de la vulnerabilidad

Fuente: Inteco-CERT

CSIRT-CV