0Day en iOS y OSX por vulnerabilidad en Apple CoreText

INTECO ha informado de una vulnerabilidad crítica sin solución oficial, O Day, que provoca denegación de servicio en varias versiones de dispositivos con los sistemas operativos iOS y OSX.

La vulnerabilidad afecta al framework de renderización de fuentes Apple CoreText utilizado por la plataforma para aplicaciones WebKit desde OS X v10.5 e iOS 3.2 y que sirve como base para varios navegadores web.

Según la informacion publicada, cuando los dispositivos afectados reciben una cadena de texto en particular se produce una denegación de servicio que provoca el fallo del sistema.

Esta cadena de texto (en árabe) se puede recibir mediante un mensaje de texto en un teléfono iOS, un mensaje a través de iMessage, accediendo a una pagina web que muestre dicha cadena, o incluso a través del SSID de una red Wi-Fi.

Apple conocería este error desde hace meses aunque al parecer, hasta ayer, la cadena se había limitado a un sitio web ruso, extendiéndose rápidamente a las redes sociales causando denegación de servicio en aplicaciones de Twitter, navegadores, SMS o Facebook.