Apple MacOS X/iOS antes OS X 10.9/iOS 7 CoreText API Arabic Characters Negação de Serviço

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
7.2$0-$5k0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como problemático em Apple MacOS X and iOS. Afetado é uma função desconhecida do componente CoreText API. O tratamento no contexto de Arabic Characters leva a Negação de Serviço. Além disso, existe um exploit disponível. É recomendado atualizar o componente afetado.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como problemático em Apple MacOS X and iOS. Afetado é uma função desconhecida do componente CoreText API. O tratamento no contexto de Arabic Characters leva a Negação de Serviço. Declarar o problema usando CWE resulta em CWE-404. O problema foi divulgado 28/08/2013 por adamzegelin como Rendering bug crashes OS X, iOS apps with string of Arabic characters como Posting (Site). O comunicado está disponível para download em news.ycombinator.com. A publicação pública aconteceu sem coordenação com o fornecedor. A publicação apresenta:

Some Mac and iOS device users on Twitter were only half joking when labeling the string the "unicode of death."

Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O comunicado destaca:

Security researchers, meanwhile, have been poring over crash dumps like this one for signs that the bug could be used for even more nefarious purposes, such as remotely executing malicious code on a vulnerable device.

Está declarado como altamente funcional. O exploit foi compartilhado para download em zhovner.com. Como 0-day, o preço estimado no mercado negro era cerca de $25k-$100k. A recomendação aponta:

Tweets and other social networking dispatches were enough to cause browsers to crash, so within a few hours of the bug becoming public, Facebook was already preventing the characters from being posted to user walls and timelines by displaying [a] message.

A atualização para a versão OS X 10.9 e iOS 7 pode solucionar este problema. É recomendado atualizar o componente afetado. O aviso inclui o seguinte comentário:

This translated habrahabr.ru post about the bug claims that the issue has been fixed in both OS X 10.9 and iOS 7, so affected users who also happen to be early adopters of new Apple software should be able to get a fix soon. However, there's no word on whether future updates to iOS 6 or OS X 10.8 will fix the issue for users who can't or don't want to upgrade.

Afetado

  • Apple Mac OS X 10.8.4
  • Apple iOS 6.1.3

Produtoinformação

Tipo

Fabricante

Nome

Licença

Apoio

Site

CPE 2.3informação

CPE 2.2informação

Captura de tela

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 7.5
VulDB Meta Pontuação Temporária: 7.2

VulDB Pontuação Base: 7.5
VulDB Pontuação Temporária: 7.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Negação de Serviço
CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Altamente funcional
Autor: adamzegelin
Linguagem de programação: 🔍
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍

Atualização: MacOS X/iOS OS X 10.9/iOS 7

Linha do tempoinformação

28/08/2013 🔍
28/08/2013 +0 dias 🔍
03/09/2013 +6 dias 🔍
22/09/2022 +3306 dias 🔍

Fontesinformação

Fabricante: apple.com

Aconselhamento: Rendering bug crashes OS X, iOS apps with string of Arabic characters
Pessoa: adamzegelin
Estado: Confirmado

GCVE (VulDB): GCVE-100-10105
scip Labs: https://www.scip.ch/en/?labs.20180712
Vários: 🔍

Entradainformação

Criado: 03/09/2013 19h37
Atualizado: 22/09/2022 15h29
Ajustamentos: 03/09/2013 19h37 (57), 08/05/2018 09h03 (2), 22/09/2022 15h29 (2)
Completo: 🔍
Cache ID: 216:D4E:103

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!