OS-X- und iOS-Apps sollen durch Fehler in CoreText abstürzen

BetriebssystemMobileMobile OSSicherheitWorkspace
apple-logo-schwarz (Bild: Apple)

Eine bestimmte Abfolge von arabischen Schriftzeichen kann von der Betriebskomponente nicht richtig verarbeitet werden. Die Sicherheitslücke ermöglicht Denial-of-Service-Attacken. In den aktuellen Entwicklerversionen von OS X Mavericks und iOS 7 hat Apple den Fehler bereits behoben.

In den Betriebssystemen iOS und OS X kann ein Fehler in der Komponente CoreText beliebige Anwendungen abstürzen lassen. Dazu ist es allerdings erforderlich, dass sie eine bestimmte Abfolge arabischer Schriftzeichen anzeigen sollen. Bereits im Februar dieses Jahres wurde auf das Problem bei Twitter hingewiesen. Programmierer und Hacker sind aber erst vergangene Woche darauf aufmerksam geworden.

Coretext-Bug in OS X und iOS
Diese Folge arabischer Schriftzeichen lässt Anwendungen und Dienste unter OS X und iOS abstürzen (Screenshot: Topher Kessler / News.com).

Apple hat die Lücke bisher nicht bestätigt oder gar einen Fix zur Verfügung gestellt. Forscher berichten jedoch, dass die jüngsten Preview-Versionen von OS X Mavericks und iOS 7 nicht betroffen seien. Das legt die Vermutung nahe, dass Apple den Fehler kennt und auch in älteren Versionen seiner Betriebssysteme beseitigen wird. Es könnte allerdings auch sein, dass Änderungen, die Apple im Rahmen der Weiterentwicklung von CoreText vorgenommen hat, das Problem behoben haben.

Da alle Anwendungen und Dienste, die CoreText benutzen, zum Absturz gebracht werden können, kann der Bug für Denial-of-Service-Angriffe verwendet werden. Jemand könnte die fragliche Zeichenfolge als Textnachricht, iMessage oder E-Mail verschicken oder auch in eine Website einbauen, was den Absturz der zugehörigen Anwendungen auslösen würde. Selbst die SSID eines WLAN-Netzes oder der Netzwerkname eines Computers könnten so gestaltet werden, dass Programme, die auf diese Informationen zurückgreifen, ungewollt beendet werden. Bisher sind allerdings keine Angriffe bekannt, die auf diesem Fehler basieren.

Schon im Februar hatte OS X Mountain Lion mit einem ähnlichen Problem zu kämpfen. Die Eingabe der Zeichenfolge “File:///” führte bei zahlreichen Programmen zum Absturz. Die Vorgänger OS X Lion und Snow Leopard waren von dem Problem nicht betroffen.

AppleInsider zufolge arbeitet Apple an einem weiteren Sicherheitsupdate für OS X 10.8. Mountain Lion. Vor rund einer Woche hatte der Blog von einer Vorabversion des Updates 10.8.5 (Build 12F35) erfahren. Es soll auch Probleme bei der Anzeige von Nachrichten in Mail und beim automatischen Start von Bildschirmschonern beheben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de