Image Image Image Image Image Image Image Image Image Image

Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

Eine spezifische Sequenz arabischer Schriftzeichen geistert momentan durch Twitter und andere soziale Netzwerke: Es ist mal wieder Exploit-Zeit für iOS und Mac OS X. Betroffen sind sämtliche Applikationen, die von der WebKit Engine zum Rendering von UI-Elementen Gebrauch machen, also z.B. eine Form von Webansicht bieten. Dazu zählt auch die iMessage App auf dem Mac oder iPhone, sowie der Chat-Client Adium oder der Browser Google Chrome.

Wie einst bei dem Bug mit der Zeichenfolge “File:///” kann man hiermit seinen Bekannten und Freunden gehörig auf den Wecker gehen. Die Sicherheitslücke kann laut dem Habrahabr.ru Forum auf verschiedene Arten und Weisen reproduziert werden:

  • Versand von SMS per iPhone mit der Zeichenkette
  • Versand einer Nachricht per iMessage auf iOS oder OS X
  • Öffnen einer Seite mit der Zeichenkette in der URL bzw. Adresszeile, oder im Seitentitel, oder im Code der Seite. Deswegen haben wir die Zeichenkette als Grafik eingebunden.
  • Besonders nervig: Zeichenkette in einer SSID (Netzwerkname eines WLAN-Netzes) integriert, sämtliche nach einem freien Netz scannenden iOS und OS X Geräte mit iOS 6 oder Mac OS X 10.8 (Mountain Lion) werfen dann offenbar einen Fehler aus.

Apple wurde vor 6 Monaten bereits über die Sicherheitslücke informiert und hat laut den Veröffentlichern des Exploits nicht (adäquat) reagiert. Die Veröffentlichung soll den Prozess der Update-Bereitstellung von Apples Seite aus beschleunigen. Wer will, kann sich an dem Prozedere beteiligen, indem er Bugreports der abgestürzten Programme an Apple sendet.

Die problematische Zeichenkette sieht so aus, eigentlich ganz hübsch:

WBI Screenshot 2013 08 29 at 18.36.05 Arabische Zeichenfolge lässt iOS und OS X Programme abstürzen (Sicherheitslücke)

 

Eine Testseite für das Exploit steht unter dieser URL zur Verfügung und wird (Achtung!) jeglichen WebKit-Browser unter Mountain Lion oder iOS 6 abschießen. Mit Schäden ist eher nicht zu rechnen, logischerweise übernehmen wir keinerlei Haftung. In Chrome läuft jeder Tab standardmäßig in seinem eigenen Thread, was also meist nur im Absturz eines einzelnen Tabs resultiert.

WebKit auf anderen Betriebssystemen (z.B. Google Chrome unter Windows) ist nicht betroffen. Nutzer von Mountain Lion (10.8) oder iOS 6 können momentan nur ein Update abwarten. Bis zum Update würde nur ein Downgrade auf die letzte Version von Mac OS Lion helfen, was aber etwas übertrieben hinsichtlich der momentanen Situation wäre.


Übrigens: Wenn Du Apple-Fan bist und auch in Zukunft jede Menge Nützliches zum iPhone, iPad, Mac oder iOS 8 erfahren willst, dann folge uns am besten auf Facebook oder Twitter.