CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/09/2013

0day de denegació de servei a dispositius iOS/OSX

Publicat un codi maliciós que aprofita una vulnerabilitat "0day" de denegació de servei a diverses versions de dispositius iOS/OSX.

Risc: Crític

La vulnerabilitat coneguda afecta el framework de renderització de fonts Apple CoreText utilitzat per la plataforma per a aplicacions WebKit i que servix com a base per a diversos navegadors web.

Segons la informació publicada, quan els dispositius afectats reben una cadena de text en particular es produix una denegació de servei que provoca la fallada del sistema.

La cadena de text es pot rebre mitjançant un missatge de text a un telèfon iOS, un missatge a través d'iChat, accedint a una pàgina web que mostre aquesta cadena, o fins i tot a través del SSID d'una xarxa Wi-Fi.

Sistemes Afectats:

Segons la informació publicada, esta vulnerabilitat ocorre a:

Mac OS 10.8.4 (Mountain Lion) e iOS 6.

Versions Mac OS anteriors a 10.8 i versions 10.9, i iOS versions 7, no semblen afectades pel problema.

Referències:

None

Solució:

Actualment no existix cap solució oficial a esta vulnerabilitat. Als dispositius mòbils, es recomana deshabilitar els missatges PUSH, fins que Apple publique una actualització que solucione el problema.

Notes:

Report de la vulnerabilidad

Font: Inteco-CERT

CSIRT-CV