2192689

Manipuliertes PNG-Bild lässt Safari und Mail abstürzen

25.04.2016 | 13:06 Uhr |

Eine präparierte PNG-Datei soll die Mobilversionen von Safari, Mail und Nachrichten zum Absturz bringen - iOS 9.3.1 scheint dies aber zu korrigieren.

Mit einer simplen PNG-Datei könne man die Mobilversion von Safari und andere Apps zum Absturz bringen, wie der Sicherheitsforscher Lander Brandt jetzt behauptet. Offenbar handelt es sich dabei um einen bereits von Apple bestätigten Fehler im Image-IO-Framework, das für die Darstellung von Bilddateien wie JPEG und PNGs zuständig ist. Laut Brand genügt es, mit einer App eine präparierte PNG-Datei aufzurufen, und die App stürze ab. Betroffen seien alle Versionen von iOS ab Version 7.1. Angreifbar wären  alle App, die Apples Framework nutzen, man könne mit der App per PNG-Datei sowohl  Safari und Mail als auch die Nachrichten-App zum Absturz bringen. Apple wurde vom Entwickler Mitte Dezember über den Bug informiert, korrigiert wurde er aber anscheinend noch nicht vollständig. Zuletzt wurde er im März benachrichtigt, eine Korrektur sei in Arbeit, weshalb er den Fehler jetzt doch veröffentlicht hat.

Wir können den Fehler für iOS 9.3.1 allerdings nur eingeschränkt bestätigen: Unter iOS 9.3.1 und unter OS X 10.11 stürzt Safari nicht komplett ab, die Seite wird aber neu geladen und meldet „Die Webseite wurde neu geladen, da es ein Problem damit gab.“ Probleme verursacht die Bilddatei dagegen bei Apps von Drittherstellern. Rufen wir die PNG-Datei über die Twitter-App auf, sieht man nur noch ein weißes Fenster und muss das Laden abbrechen. Auch unter OS X 10.11 wird die Webseite sofort neu geladen, Safari unter OS X 10.10, Firefox und Google Chrome können das Bild problemlos laden. Auch einige Anwender der Seite iPhone-Ticker melden sehr unterschiedliche Reaktionen: Bei manchen stürzt der Browser sofort ab, bei anderen dagegen nicht. Theoretisch könnte aber auch  ein "unzuverlässiger" Bug für Angriffe von Hackern genutzt werden, oder einfach für  so genannte Pranks mit iPhone-Besitzern. Einen ähnlichen Fehler hatte es schon 2013 gegeben, als man mit einigen arabischen Zeichen Apples Text-Engine „ abschießen “ konnte. Wir empfehlen deshalb, iOS regelmäßig zu aktualisieren.

Eine Beispieldatei kann hier aufgerufen werden, die Besonderheit ist ein fehlerhafter Speicherbereich mit 0 Byte.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2192689