Tekstinė klaida užlaužia OS X 10.8 ir iOS 6 aplikacijas
Aptikta nauja saugumo spraga, dėl kurios „lūžta“ WebKit pagrindu veikiančios OS X Mountain Lion ir iOS 6 aplikacijos.
Rusų kibernetinės erdvės saugumo ekspertai aptiko, kad tam tikras arabiškų simbolių atvaizdavimas (dėl suprantamų priežasčių šio teksto savo svetainėje nerodysiu), dėl Apple CoreText atkūrimo klaidos, gali „užlaužti“ WebKit pagrindu veikiančias aplikacijas.
Ši klaida veiksminga Mac OS X 10.8 Mountain Lion ir iOS 6. OS X versijos žemesnės nei 10.8 ar OS X 9 beta (Mavericks), kaip ir iOS versijos žemesnės už iOS 6 ar naujoji iOS 7 beta - šiai klaidai nejautrios.
Šios saugumo spragos padarinius iššaukti galima:
- išsiuntus SMS į iPhone su tam tikru arabišku tekstu. Tai iššauks „respring’ą“ ir daugiau į aplikaciją „Messages“ nepavyks užeiti.[1]
- išsiųsti žinutę per iMessage į iOS įrenginį ar Messages aplikaciją Mac kompiuteryje. Gavus tokią žinutę aplikacija „užlūš“ ir į ją daugiau nepavyks užeiti.
- Užeiti į svetainę, kurioje įrašytas atitinkamas tekstas. Tokiu atveju mobili ir kompiuterinė Safari versijos tiesiog užsidarys ir norint vėl naudotis Safari naršykle, prieš tai reikės pašalinti aplankytų svetainių istoriją. Chrome ir naujoji Opera naršyklės parodys klaidos pranešimą, bet toliau veiks.
- Wi-Fi tinklo pavadinime panaudojus „tą“ tekstą - skenuojant W-Fi tionklus ir aptikus taip pavadintą Wi-Fi tinklą bus pranešta apie klaidą. Klaidos aprašymą rasite ycombinator.com svetainėje.
Apie šią klaidą Apple informuota gerokai anksčiau, tačiau kadangi Cupertino kompanija niekaip nereaguoja į ją - gal viešas saugumo spragos paskelbimas leis mums sulaukti kokios nors reakcijos iš Kalifornijos.
Apple ir anksčiau turėjo panašių saugumo spragų. 2009 metais, iOS 3.0 SMS saugumo spraga leido kitiems nuotoliniu būdu paleisti piktybinį kodą žinutės gavėjo telefone. Ši klaida buvo ištaisyta iOS 3.1 atnaujinime. Kita panaši su tekstu susijusi OS X klaida buvo aptikta 2013 metų vasario mėnesį - ji ištaisyta OS X 10.8.3 versijoje.
-
Jei kas nors taip nevykusiai pajuokavo, norint ištaisyti klaidą reikia, kad iš to paties telefono, kuris atsiuntė tą žinutę, būtų atsiųsta dar viena (normali) žinutė ir tada, kad iš bet kokio kito telefono kas nors atsiųstų SMS. Tokiu būdu paspaudus ant (iš kito telefono) atsiųstos žinutės ir pasirinkus „Back“ galima iš sąrašo pašalinti žinutę su „negeru“ arabišku tekstu. ↩