19 de febrero de 2018

APPLE. Vuelve a sufrir ataques por "Text bombs"

Si el pasado mes Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir caracteres en lengua Telugu (India).
El error es debido a una incorrecta gestión de los caracteres Unicode que forman parte del set Telegu, la segunda lengua más utilizada en India.
En concreto, la secuencia en formato Unicode "U+0C1C U+0C4D U+0C1E U+200C U+0C3E", desencadenaría que cualquier usuario que reciba o procese un mensaje o notificación que utilice dicha combinación, pueda comprobar como la aplicación utilizada se bloquea o, simplemente, se cierra.
Un estudio más completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha determinado que existen más combinaciones, incluso de otras lenguas como la Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con las posibles variantes.
Actualmente, ésta vulnerabilidad de denegación de servicio o "Text bomb" sigue sin poder resolverse de manera oficial, y se verían afectadas todos las versiones de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en iMessage:
O incluso en el gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el SSID), tal y como pudo comprobar el investigador @info_dox:
https://twitter.com/info_dox/status/964205281700802561
Apple está preparando un conjunto de actualizaciones que serán desplegadas lo antes posible.
Más información:
Fuente: Hispasec

Publicado por en
Etiquetas: