Sicherheitslücke in OS X und iOS: Manipulierte PNG-Bilder können Programme abstürzen lassen

25. Apr. 2016 17:00 Uhr - sw

Der Sicherheitsexperte Lander Brandt hat eine kritische Schwachstelle in den Apple-Betriebssystemen OS X und iOS aufgespürt. Sie betrifft das Framework ImageIO, das für die Bildverarbeitung zuständig ist. Es wird in allen Apple-Programmen und in vielen Anwendungen von Drittherstellern verwendet. Durch den von Brandt aufgespürten Bug in ImageIO ist es möglich, Programme durch manipulierte PNG-Bilder, die beispielsweise in Web-Seiten eingebettet sind oder via E-Mail oder Instant-Messenger empfangen werden, zum Absturz zu bringen.


OS X El Capitan

OS X El Capitan: Sicherheitslücke in der PNG-Verarbeitung lässt Programme abstürzen .
Bild: Apple.



Brandt hat die Sicherheitslücke nach eigenen Angaben im Dezember an Apple gemeldet. Sie wurde demnach kurz darauf vom Mac- und iPhone-Hersteller bestätigt. Nachdem Apple die Schwachstelle auch mit den im März veröffentlichten Betriebssystemupdates OS X 10.11.4 und iOS 9.3 nicht behoben hat, hat sich Brandt nun zur Veröffentlichung der technischen Einzelheiten entschlossen. Ob die in der Entwicklung befindlichen und für Mai oder Juni erwarteten Betriebssystemupdates OS X 10.11.5 und iOS 9.3.2 die Sicherheitslücke schließen werden, bleibt abzuwarten. Weshalb Apple die Lücke nicht längst beseitigt hat, bleibt rätselhaft.

Brandt hat ein PNG-Beispielbild veröffentlicht – es lässt beim Aufruf mit Safari das Fenster bzw. den Tab abstürzen (der Browser selbst läuft weiter), wird es mit Vorschau oder Mail geöffnet, stürzen die Programme sofort ab.

Kommentare

unter 10.9.5 richtet das png bei mir "keinen absturzschadden" an!

OS X 10.11.4 iMac => Crash

OS X 10.11.4 MacBook => Crash

iOS 9.3.1 auf iPhone 6 => Crash

Hast Glück, dein Mavericks scheint nicht betroffen!