Präparierte Webseite lässt Safari und iMessage abstürzen

Solltet ihr diesen Eintrag in Apples Safari-Browser (mobil oder auf dem Desktop) lesen, klickt bitte nicht auf diesen Link. Die auf der Domain zhovner.com abgelegte Webseite nutzt einen Bug in Apples „CoreText“-Framework aus und sorgt nicht nur dafür, dass sich Safari weniger als eine Sekunde nach dem Aufruf des Links mit einem Absturz verabschiedet…

Übergibt man den Inhalt der Zeichenkette, die sich unter anderem in Firefox problemlos darstellen lässt an Apples iMessage-Applikation, kann der Code auch die Nachrichten-Anwendung Cupertinos abschmieren lassen.

Im schlechtesten Fall bei jedem Aufruf der Kurznachrichten-Anwendung.

Der Fehler soll Apple bekannt und im OS X-Update auf Mavericks bereits behoben sein. Auch iOS 7 sollte durch die manipulative Zeichenkette nicht mehr aus der Bahn geworfen werden – iOS 6 Nutzer jedoch müssen beim Surfen zukünftig aufpassen.

Wer sich für die Hintergründe des Safari-Chrashs interessiert, kann auf dieser Github-Seite einen kompletten System-Dump der ausgegebenen Fehlermeldungen einsehen. Getestet wurde der Absturz hier unter iOS 6.1.3.

Mit Apples Over-the-Air Aktualisierung könnten Fehler wie diese eigentlich binnen weniger Tage geschlossen werden. Bislang jedoch setzt Apple die OTA-Updates ausschließlich als alternative Bezugsmöglichkeit für größere iOS-Aktualisierungen ein und hat auf die automatische Ausgabe kleinerer Bugfix-Updates konsequent verzichtet.