Gevaarlijke DoS-exploit in CoreText-framework laat iOS en OS X crashen

Een nieuw ontdekte exploit maakt het mogelijk om iOS-apparaten en Macs te laten crashen. De kwetsbaarheid leek aanvankelijk te maken te hebben met de WebKit-engine, zoals de Russische website Habrahabr meldt. Maar bij nadere bestudering door lezers van Hacker News gaat het om een bug in Apple’s CoreText font rendering framework. De Russische site meldt dat het invoeren van een bepaalde tekenreeks in het Arabisch een fatale fout veroorzaakt. We hebben dit op de iCulture-redactie gecheckt en kunnen bevestigen dat de exploit diverse apps op iOS 6 (niet in iOS 7 beta) kan laten crashen.

Elke app op iOS 6 en OS X 10.8 die gebruikmaakt van het genoemde CoreText-framework crasht, waardoor je in een eindeloze crashloop kunt terechtkomen. Het probleem doet zich onder andere voor bij het zenden van een sms op de iPhone, het versturen van een iMessage-bericht, het openen van een pagina in Safari of het scannen naar Wi-Fi-netwerken.

Gelukkig is er bij oudere versies (lager dan iOS 6) en de huidige iOS 7 beta’s geen probleem. Ook in OS X 10.9 beta en in oudere OS X-versies (vóór 10.8) lijkt het probleem opgelost, zo hebben we geconstateerd. In een video van tipgever Niels (zie hieronder) is te zien hoe de Safari-browser voortdurend crasht.

https://www.youtube.com/watch?v=MLYpFZDIGwk&feature=youtu.be

Het probleem zou al een half jaar geleden bij Apple zijn gemeld, maar is nog niet opgelost. De Russen hopen nu dat meer publiciteit Apple ertoe dwingt om maatregelen te nemen.

Tipgever: @nielsvr