<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">Working on a pcap capture right now. On an older mac, with Safari 5.0.6, nothing crashes on me, however I need to verify that I meet the vulnerability conditions. I will test on a newer mac.<br>
</div>
</div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">From:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:jthoel@...2420...">Jeremy Hoel</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Sent:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">‎9/‎6/‎2013 8:15 PM</span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">To:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:l0rdch0de1m0rt@...2420...">L0rd Ch0de1m0rt</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Cc:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:snort@...3751...">Y M</a>;
<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@...639...forge.net</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Subject:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">Re: [Snort-sigs] Webkit DoS -- سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ</span><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">On the list of for ET rules, this is also listed as a reference -<br>
<a href="http://zhovner.com/tmp/killwebkit.html">http://zhovner.com/tmp/killwebkit.html</a><br>
<br>
On Fri, Sep 6, 2013 at 5:02 PM, L0rd Ch0de1m0rt<br>
<l0rdch0de1m0rt@...2420...> wrote:<br>
> Hello. Y M.  Thank you very much for the input.  Sorry for not including<br>
> this link:<br>
><br>
> <a href="http://arstechnica.com/apple/2013/08/rendering-bug-crashes-os-x-and-ios-apps-with-string-of-arabic-characters/">
http://arstechnica.com/apple/2013/08/rendering-bug-crashes-os-x-and-ios-apps-with-string-of-arabic-characters/</a><br>
><br>
> It isn't a tool causing this, just a mis-handling by Webkit of this string.<br>
> I am not fully understanding why (probably related more to how the Webkit<br>
> handles the characters/bytes rather than what they actually represents).<br>
><br>
> I'm not sure if and how the bytes need to be in a certain order.  For<br>
> example:<br>
><br>
> ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ<br>
><br>
> ^^ will that cause an issue?<br>
><br>
> or:<br>
><br>
> سمَـَّوُوُح<br>
><br>
> Or does it have to be the full thing:<br>
><br>
><br>
> سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ<br>
><br>
> Thanks.<br>
><br>
> Lord C.<br>
><br>
><br>
> On Fri, Sep 6, 2013 at 12:53 PM, Y M <snort@...3751...> wrote:<br>
>><br>
>> Can you provide more information on the DOS? What tool is generating this?<br>
>> And against what? Any reference or pcap?<br>
>><br>
>> The text is in Arabic, though its contains some malformed Arabic<br>
>> characters. The top level characters are used to control pronunciation of<br>
>> words. Again, some of them are malformed. And some of them are wrongly used;<br>
>> if I am reading it write (see below).<br>
>><br>
>> I am not sure if it is a coincidence, but the word<br>
>> سمَّوُ<br>
>> Means highness; but the top level character in the middle is mistakenly<br>
>> used in the context of the word. The other word:<br>
>> امارتي<br>
>> Means Emirati; translated as an Emirate citizen. Although the word spelled<br>
>> wrong based on the official written Arabic language - I have seen people<br>
>> writing it this way.<br>
>><br>
>> Some other letters are valid but their construction as a word does not<br>
>> mean anything such و، ح، خ<br>
>><br>
>> The rest are symbols not used/related to Arabic.<br>
>><br>
>> Hope this helps. May be if there is more information I can help better.<br>
>><br>
>> Thanks.<br>
>><br>
>> ________________________________<br>
>> From: L0rd Ch0de1m0rt<br>
>> Sent: ‎9/‎6/‎2013 7:34 PM<br>
>> To: snort-sigs@lists.sourceforge.net<br>
>> Subject: Re: [Snort-sigs] Webkit DoS -- سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ<br>
>> امارتيخ ̷̴̐خ<br>
>><br>
>> Hello.  Whoops, I accidentily sent the last email early (still getting<br>
>> used to the new GMAIL interface and hit the wrong key-board combination for<br>
>> my new key-board layout).  Anyway, here is the string:<br>
>><br>
>> سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ<br>
>><br>
>><br>
>> Does anyone know why this happens and what other combination or<br>
>> sub-strings can be used to exploit this? I ask so that we can make a SNORT<br>
>> rule for it.  From my reading this is DoS and no RCE or BO that is known of.<br>
>><br>
>> Thanks.<br>
>><br>
>> Lord C.<br>
>><br>
>><br>
>> On Fri, Sep 6, 2013 at 12:27 PM, L0rd Ch0de1m0rt<br>
>> <l0rdch0de1m0rt@...2420...> wrote:<br>
>><br>
>> Hello.  I saw something recently that showed that this Arabic string can<br>
>> DoS Webkit programs:<br>
>><br>
>><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Learn the latest--Visual Studio 2012, SharePoint 2013, SQL 2012, more!<br>
> Discover the easy way to master current and previous Microsoft technologies<br>
> and advance your career. Get an incredible 1,500+ hours of step-by-step<br>
> tutorial videos with LearnDevNow. Subscribe today and save!<br>
> <a href="http://pubads.g.doubleclick.net/gampad/clk?id=58041391&iu=/4140/ostg.clktrk">
http://pubads.g.doubleclick.net/gampad/clk?id=58041391&iu=/4140/ostg.clktrk</a><br>
> _______________________________________________<br>
> Snort-sigs mailing list<br>
> Snort-sigs@lists.sourceforge.net<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
> <a href="http://www.snort.org">http://www.snort.org</a><br>
><br>
><br>
> Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!<br>
</div>
</div>
</body>
</html>