Manipulierte Bilddatei lässt Safari und die Nachrichten-App abstürzen

Ihr erinnert euch an den Text-Nachrichten-Bug vom August 2013? Ein Fehler in Apples CoreText-Framework sorgte damals dafür, dass eine arabische Zeichenkette all jene iOS-Applikationen abstürzen ließ, die versuchten den Text auf dem iPhone-Display auszugeben. Safari, die Nachrichten-App, Twitter-Clients von Drittanbietern.

Der Sicherheits-Forscher Lander Brandt macht nun auf einen ähnlichen Fehler aufmerksam, der Apples Bild-Rendering-Engine betrifft. Kurz zusammengefasst: Mit einer entsprechend präparierte PNG-Datei lassen sich fast alle iOS-Anwendungen crashen, die sich auf die Anzeige von Grafikdateien verstehen.

Brandt hat den Bug, von dem sowohl iOS als auch Cupertinos Desktop-Betriebssystem OS X betroffen sind, bereits im vergangenen Dezember bei Apple gemeldet wartet jedoch noch immer auf eine abschließende Rückmeldung.

iOS 9.3.1 scheint die erste System-Version zu sein, die den Fehler behebt. Alle zurückliegenden iOS-Versionen, ab iOS 7.1, sind weiterhin „verwundbar“.

This bug can be triggered any time a PNG file is being processed. So really, anything that processes the image can be caused to crash. Some examples: 1) Receiving the malicious image via text message with message previews turned on will crash SpringBoard on iOS. 2) Entering a message thread containing the image will crash the messages app. 3) Opening an email containing the image will crash the mail client.

• ACHTUNG Demo: Dieses Beispiel-Bild zeigt den Bug in Aktion und lässt Safari direkt nach dem Aufruf abstürzen.