Image Image Image Image Image Image Image Image Image Image

Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

Eine spezifische Sequenz arabischer Schriftzeichen geistert momentan durch Twitter und andere soziale Netzwerke: Es ist mal wieder Exploit-Zeit für iOS und Mac OS X. Betroffen sind sämtliche Applikationen, die von der WebKit Engine zum Rendering von UI-Elementen Gebrauch machen, also z.B. eine Form von Webansicht bieten. Dazu zählt auch die iMessage App auf dem Mac oder iPhone, sowie der Chat-Client Adium oder der Browser Google Chrome.

Wie einst bei dem Bug mit der Zeichenfolge “File:///” kann man hiermit seinen Bekannten und Freunden gehörig auf den Wecker gehen. Die Sicherheitslücke kann laut dem Habrahabr.ru Forum auf verschiedene Arten und Weisen reproduziert werden:

  • Versand von SMS per iPhone mit der Zeichenkette
  • Versand einer Nachricht per iMessage auf iOS oder OS X
  • Öffnen einer Seite mit der Zeichenkette in der URL bzw. Adresszeile, oder im Seitentitel, oder im Code der Seite. Deswegen haben wir die Zeichenkette als Grafik eingebunden.
  • Besonders nervig: Zeichenkette in einer SSID (Netzwerkname eines WLAN-Netzes) integriert, sämtliche nach einem freien Netz scannenden iOS und OS X Geräte mit iOS 6 oder Mac OS X 10.8 (Mountain Lion) werfen dann offenbar einen Fehler aus.

Apple wurde vor 6 Monaten bereits über die Sicherheitslücke informiert und hat laut den Veröffentlichern des Exploits nicht (adäquat) reagiert. Die Veröffentlichung soll den Prozess der Update-Bereitstellung von Apples Seite aus beschleunigen. Wer will, kann sich an dem Prozedere beteiligen, indem er Bugreports der abgestürzten Programme an Apple sendet.

Die problematische Zeichenkette sieht so aus, eigentlich ganz hübsch:

WBI Screenshot 2013 08 29 at 18.36.05 Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

 

Eine Testseite für das Exploit steht unter dieser URL zur Verfügung und wird (Achtung!) jeglichen WebKit-Browser unter Mountain Lion oder iOS 6 abschießen. Mit Schäden ist eher nicht zu rechnen, logischerweise übernehmen wir keinerlei Haftung. In Chrome läuft jeder Tab standardmäßig in seinem eigenen Thread, was also meist nur im Absturz eines einzelnen Tabs resultiert.

WebKit auf anderen Betriebssystemen (z.B. Google Chrome unter Windows) ist nicht betroffen. Nutzer von Mountain Lion (10.8) oder iOS 6 können momentan nur ein Update abwarten. Bis zum Update würde nur ein Downgrade auf die letzte Version von Mac OS Lion helfen, was aber etwas übertrieben hinsichtlich der momentanen Situation wäre.

Und übrigens: Wenn ihr Apple-Fan seid und auch in Zukunft jede Menge Nützliches zum iPhone, iPad, Mac oder iOS 8 erfahren wollt, dann folgt uns am besten auf Facebook oder Twitter.

Probleme? Wir liefern Unterstützung bei Fragen zu iOS 8, OS X, 3D Druck und mehr! Trete unserer Community auf Facebook bei und verpasse keine Neuigkeiten mehr:

  • MD

    Unter ios 7 Crasht es nicht ^.^

  • http://weblogit.net/ Tom

    Jep, Mac OS X 10.9 oder 10.7 sind auch nicht betroffen.

  • Alexander

    Facebook hats bereits gesperrt :P
    Wenn ich ne Mail mit dem Inhalt habe, stürtzt die Mail App ab und lässt sich auch nur wieder öffnen, wenn ich die Syncronisierung der Mails deaktiviere, die Mail online auf dem Notebook lösche und die Syncronisierung wieder aktiviere!

  • http://weblogit.net/ Tom

    SMS mit der arabischen Zeichenfolge sollen auch gut kommen, habe ich noch nicht probiert. Adium hat sich bereits in unserer Redaktion an Twitter-Feeds erfreut und ist ständig krepiert.

  • Ramon

    Was kann man machen wenn man die Nachricht erhalten hat? Die Message-App stürzt nun ständig ab…

  • http://weblogit.net/ Tom

    Eine Option wäre, das aktuellste Backup wiederherzustellen (z.B. via iTunes). Für alle anderen Versuche benötigst Du einen Jailbreak für Zugriff auf das Dateisystem. Den Pfad zum Message-Cache weiß ich aber spontan auch nicht.
    Protip: Wenn Du eine Antwort benötigst, am besten mit Mailadresse kommentieren, dann wirst Du benachrichtigt (andere Leser sehen deine Mailadresse nicht!). ;-)

  • MD

    Ein Update auf eine ios 7 Beta wäre auch eine Lösung ^^

  • Pete

    …oder einfach doch ganz offiziell iOS7 und Apps für ein kleines Softwareunternehmen testen?

    Bei uns könnt ihr euer Gerät gegen eine kleine Spende für die Kaffeekasse eintragen lassen.

    Lasst euch nicht auf irgendwelche Installationen ohne eingetragenem Gerät ein, wenn ihr euch auf euer Telefon o.ä. verlassen müsst. Das kann nach hinten los gehen.

    Schreibt einfach eine Email an pete.udid@yahoo.com

    Gruß
    Pete

Kategorien
All NewsiOSMac