La noticia de hoy habla de un 0day en iOS que permite a un atacante remoto crashear el sistema. Por lo que sabemos no se puede ejecutar código arbitrario, pero al menos a día de hoy se puede tumbar el sistema reiniciando iOS. Existe un desbordamiento que provoca la caída comentada, por lo que se puede atacar la disponibilidad de una persona de manera remota.
La vulnerabilidad fue publicada por un investigador llamado Bone, el cual además publicó un exploit como prueba de concepto. El investigador indicaba que la aplicación del calendario de iOS contiene un parámetro que provoca el desbordamiento.
Lo importante de la noticia es que incluso sin acceso físico, simplemente conociendo la cuenta de correo electrónico que se utilice en el Exchange se podría llegar a realizar el ataque.
Lo importante de la noticia es que incluso sin acceso físico, simplemente conociendo la cuenta de correo electrónico que se utilice en el Exchange se podría llegar a realizar el ataque.
Figura 1: iPhone 6 reiniciado por la ejecución del exploit
El investigador ha puesto en conocimiento de Apple este problema de seguridad quedando a la espera de una decisión sobre esto. Suponemos que Apple sacará pronto una actualización para solventar el problema.
No hay comentarios:
Publicar un comentario