A través del programa de recompensas Packet Storm Security ha publicado un exploit para la vulnerabilidad CVE-2012-3748 existente en Apple Safari 6.0.1 para iOS y para OS X. Dicha vulnerabilidad es un Heap Buffer Overflow que permite la ejecución de código en plataformas iOS y Mac OS X por medio de un bug en JavaScriptCore de WebKit, concretamente en el método JSArray::sort(...). Esta vulnerabilidad, probablemente esté presente tambien, según se explica en el expediente de seguridad Packet Storm Advisory 2013-0903-1 en versiones anteriores del navegador.
El exploit se puede descargar desde la web de Packet Storm, y está compuesto por un código JavaScript para explotar la vulnerabilidad en equipos OS X y otro código para explotar la vulnerabilidad en terminales iOS. El código está preparado para utilizar distintos payloads en formato ARM/x64 directamente en el código JavaScript.
Figura 1: Exploit para Apple Safari Heap Buffer Overflow |
En breve es más que probable que este exploit esté disponible en el popular framework de explotación de vulnerabilidades Metasploit, y queremos recordar que esta vulnerabilidad está parcheada desde hace tiempo por Apple en las versiones más modernas de Apple Safari.
No hay comentarios:
Publicar un comentario