Vulnerabilidad zero-day en iOS y OSX debido a Apple CoreText

Escrito por Rubén Velasco
Seguridad
3

Según podemos leer en Inteco, una vulnerabilidad zero-day se ha descubierto en los sistemas operativos de Apple, tanto iOS como OSX, que permitiría a un atacante generar una denegación de servicio en estos dispositivos. La vulnerabilidad se encuentra dentro del módulo Apple CoreText, encargado de renderizar el texto en las pantallas de los dispositivos.

La vulnerabilidad de Apple CoreText está disponible a partir de las versión 10.5 de OSX y 3.2 de iOS. Esta vulnerabilidad no tiene ninguna solución oficial por el momento, aunque Apple estará trabajando en poder ofrecer un parche que corrija esta vulnerabilidad lo más pronto posible.

Cuando un dispositivo Apple recibe una cadena de caracteres en concreto, el sistema de bloquea dando lugar al ataque de denegación de servicio. Esta cadena puede llegar al sistema de diferentes formas, por ejemplo, se podría enviar un mensaje de texto con la cadena en cuestión. También podría llegar a través de un mensaje de WhatsApp, iMessage e incluso como el nombre de una red inalámbrica.

apple_vulnerabilidad-0day_arabe

La cadena de texto es una cadena en árabe, por lo que, una posible forma de evitar ser víctimas de esta vulnerabilidad, es evitar analizar nombres y palabras en árabe, por ejemplo, evitar conectarnos a redes inalámbricas con nombres extraños ni abrir mensajes de procedencia sospechosa, pero poco más podremos hacer hasta que Apple lance la correspondiente actualización que corrija el fallo. Este fallo de seguridad es conocido por Apple desde hace varios meses, pero hasta ahora, únicamente era vulnerable a una cadena de caracteres rusos. Actualmente se ha extendido también al árabe, por lo que es posible que poco a poco se extienda a nuevos idiomas si Apple no lo corrige pronto.

Como hemos dicho anteriormente, Apple no ha hecho ninguna declaración sobre dicha vulnerabilidad ni ofrece ninguna solución al problema de momento. Todos los usuarios de Apple que utilicen las versiones vulnerables deberán esperar a que la compañía lance la correspondiente actualización que corrija dicho fallo.

¿Eres usuario de dispositivos de Apple?


Continúa leyendo
  • Islander

    La vulnerabilidad está corregida en las versiones beta actuales de todos sus sistemas. Por lo que en breve dejará de ser un problema.

    • ruvelro

      Si, pero no todo el mundo tiene acceso a las versiones beta, ni tampoco todo el mundo instalará las últimas versiones

  • juju666

    Con esto por ejemplo no ven wifis…

    # airmon-ng start wlan0
    # airbase-ng -e ” ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ” -q -c 1 mon0

    (Leído en http://www.hackplayers.com/2013/08/el-texto-de-la-muerte-para-apple.html#more)