Ein Fehler in der Komponente CoreText von Apples Betriebssystemen iOS und OS X kann dazu führen, dass beliebige Anwendungen abstürzen, wenn sie eine bestimmte Folge arabischer Schriftzeichen anzeigen sollen. Auf Twitter wurde das Problem bereits im Februar erwähnt. Aber erst im Lauf der vergangenen Woche fand es die Aufmerksamkeit von Programmierern und Hackern.
Apple hat die Lücke bisher nicht bestätigt oder gar einen Fix zur Verfügung gestellt. Forscher berichten jedoch, dass die jüngsten Preview-Versionen von OS X Mavericks und iOS 7 nicht betroffen seien. Das legt die Vermutung nahe, dass Apple den Fehler kennt und auch in den älteren Versionen seiner Betriebssysteme beseitigen wird. Es könnte allerdings auch sein, dass Änderungen, die Apple im Rahmen der Weiterentwicklung von CoreText vorgenommen hat, das Problem behoben haben.
Da alle Anwendungen und Dienste, die CoreText benutzen, zum Absturz gebracht werden können, kann der Bug für Denial-of-Service-Angriffe verwendet werden. Jemand könnte die fragliche Zeichenfolge als Textnachricht, iMessage oder E-Mail verschicken oder auch in eine Website einbauen, was den Absturz der zugehörigen Anwendungen auslösen würde. Selbst die SSID eines WLAN-Netzes oder der Netzwerkname eines Computers könnten so gestaltet werden, dass Programme, die auf diese Informationen zurückgreifen, ungewollt beendet werden. Bisher sind allerdings keine Angriffe bekannt, die auf diesem Fehler basieren.
Schon im Februar hatte OS X Mountain Lion mit einem ähnlichen Problem zu kämpfen. Die Eingabe der Zeichenfolge „File:///“ führte bei zahlreichen Programmen zu deren Absturz. Die Vorgänger OS X Lion und Snow Leopard waren von dem Problem nicht betroffen.
AppleInsider zufolge arbeitet Apple an einem weiteren Sicherheitsupdate für OS X 10.8. Mountain Lion. Vor rund einer Woche hatte der Blog von einer Vorabversion des Updates 10.8.5 (Build 12F35) erfahren. Es soll auch Probleme bei der Anzeige von Nachrichten in Mail und beim automatischen Start von Bildschirmschonern beheben.
[mit Material von Topher Kessler, News.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
