teltarif.de MOBIL · DIENSTE
Größtes deutschsprachiges Telekommunikations-Magazin *
Newsletter für: 
Festnetz Internet Mobilfunk Handy & Co. mobicroco Meldung Meinung Service 26.05.2013 

Apple Mac: Öffnet der "File"-Absturz eine Sicherheitslücke?

05.02.2013
20:31

Betroffen sind viele Anwendungen unter Mac OS X 10.8

Von /
Derzeit kursiert es eher als Gag durch diverse Medien, aber die Hintergründe sind womöglich ernster, als es auf dem ersten Blick aussieht: Im aktuellen Apple-Betriebssystem Mac OS X 10.8, das auch die Bezeichnung Mountain Lion trägt, hat sich ein Fehler eingeschlichen, der viele Anwendungen durch die bloße Eingabe einer Zeichenkombination zum Absturz bringt. Die Applikationen können danach sofort wieder gestartet werden. Unklar ist, ob durch den Fehler weitere Aktionen ausgelöst werden können.

Bei der Zeichenkombination handelt es sich um File:/// bzw. FiLe:/// oder auch filE:///. Betroffen sind unter anderem der Apple-eigene Safari-Browser, aber auch die zum Betriebssystem gehörende E-Mail-Anwendung, die Medienverwaltungs-Software iTunes, das Adressbuch und der Kalender, wie sich im kurzen Test von teltarif.de gezeigt hat. Werden alle Buchstaben klein geschrieben, so stürzt die gerade genutzte Anwendung dagegen nicht ab, wie sich in einem weiteren Test gezeigt hat. Dagegen lässt sich der Fehler unter anderem auch durch die Eingabe der Kombination File://a/ bzw. File://abc hervorrufen.

Bericht: Fehler liegt in der zentralen Rechtschreibkorrektur

Zeicheneingabe sorgt für Software-Absturz
Zeicheneingabe sorgt für Software-Absturz Einem Bericht von heise online zufolge ist der Fehler in der zentralen Rechtschreibkorrektur des Betriebssystems zu suchen. Von den Abstürzen seien ausschließlich Anwendungen betroffen, die die Rechtschreibkorrektur nutzten. Diese Apps würden wiederum "zuverlässig" den Dienst versagen, nachdem beispielsweise File:/// eingegeben wird.

Das Problem ist dabei nach übereinstimmenden Berichten zahlreicher Quellen, dass die genannten Zeichenkombinationen ähnlich wie die URL einer lokalen Datei aussehen, aber nicht ganz richtig geschrieben sind, denn in URLs muss file immer klein geschrieben werden. Die Rechtschreibkorrektur gibt jedoch nicht nur echte file-URLs, sondern auch falsch geschriebene fiLE-URLs an eine Unterroutine weiter, um weitere Prüfungen durchzuführen. Diese Unterroutine verlangt jedoch nach der korrekten Schreibweise und beendet sich deswegen mit einem Fehlerzustand (die Programmierer nennen diesen: Exception). Der Teil, der die Unterroutine aufgerufen hat, fängt diesen Fehlerzustand nicht ab, und so stürzt dann das ganze Programm ab.

Wie es weiter heißt, erzeugen die Abstütze zwar Traceback-Dateiengen. Sobald man sich diese in der Konsole anzeigen lässt, stürzt auch diese ab, weil auch in der Fehlermeldung des Tracebacks die falsche URL genannt wird.

Zum Glück lässt sich so ein Programmabsturz wegen einer nicht gefangenen Exception in der Regel nicht in einen Exploit verwandeln, der Trojaner einschleust, die die Kontrolle über das System übernehmen. Aber ein so genannter "Denial of Service" ist mit diesem Bug möglich: In einem Test von teltarif.de brachte eine speziell präparierte Website Safari zum Hängen. Da sich Webseiten auch in E-Mails einbinden lassen, lässt sich über diesen Fehler wahrscheinlich auch die E-Mail-Software lahmlegen. Auch PDFs mit Formularen und andere Medien dürften grundsätzlich angreifbar sein.

Dass die Rechtschreibkorrektur überhaupt file:-URLs anfasst, hinterlässt ebenfalls kein gutes Gefühl: Schließlich verweisen diese auf lokale Dateien. Zwar ist es unwahrscheinlich, dass sich über die Korrektur von file:-URLs ein Angreifer des Inhalts einer Datei bemächtigen könnte. Aber in vielen Fällen gibt schon das Wissen über die Existenz einer Datei einem Angreifer wertvolle Informationen. Und dieses wird möglicherweise tatsächlich preisgegeben.

Abhilfe derzeit nur teilweise möglich

Zumindest teilweise lässt sich das Problem mit der File-verwirrten Rechtschreibkorrektur beheben, indem in den Systemeinstellungen im Untermenü "Sprache & Text" die automatische Rechtschreibkorrektur inklusive der Textersetzung kurzerhand abgeschaltet wird. Wie sich im Test von teltarif.de gezeigt hat, wird der Fehler so allerdings nicht in allen Apps ausgeschaltet.

Aufgrund der genannten Probleme, insbesondere den von entfernt auslösbaren Software-Hängern, ist Apple gefordert, den Fehler mit einem Software-Update zu beheben. Wann dies erfolgt, ist allerdings noch unklar. Zumindest in der bislang nur für Entwickler freigegebenen Beta-Version für das nächste Firmware-Update lassen sich die App-Abstürze noch provozieren und reproduzieren.

Anzeige:
Hier klicken!Ultrabook™ Convertible.
Eine Idee von Intel.Advertisement		 Samsung Galaxy S4 – Das beste Galaxy S aller Zeiten
Hier klicken!ALL-NET FLAT: 19,90 €/mtl., jetzt mit 1 GB gratis! Allnet-Spar-Flat - Alles für das Smartphone nur 19,85 €/Monat!

Weitere Meldungen zu Apple-Produkten RSS

Leser empfehlen: Meistgelesene News der letzten 24 Stunden
Leser von teltarif.de empfehlen: Die meistgelesenen News der letzten 24 Stunden
Champions League Finale: Sky & ZDF kostenlos per Live-Stream
Sky zeigt Rahmenprogramm für alle, ZDF übertragt Spiel live
simquadrat: Zukünftig keine Roaming-Entgelte mehr im EU-Ausland
Anrufe nach Deutschland kosten 9 Cent pro Minute
Günstige Handys: Dual-SIM, HD-Display und Performance satt
Das bietet die Mittelklasse zwischen 200 und 300 Euro

Meinungen und Erfahrungen der Community:

Betreff Autor Datum
RE: Tolle Wurst Wiewaldi 06.02.13 19:47
Tolle Wurst skycab 06.02.13 14:46
  

Weitere News vom 05.02.2013:

- Apple Mac: Öffnet der "File"-Absturz eine Sicherheitslücke?
- App für "Das Erste" für Android, iOS und Windows Phone kommt
- Nokia erwägt Einstieg in den Tablet-Markt - mit Windows?
- getinternet und StarDSL mit echter 20-MBit/s-Satelliten-Flatrate
- DAB+: Mini-Anlage von Sony und Autoradio von AEG bei Real
- Ab 1 Cent / Minute: Lebara Mobile senkt Preise zu Auslandszielen
- Blackberry Playbook zu Preisen ab 170 Euro erhältlich
- Samsung zeigt Einsteiger-Smartphones Galaxy Young und Fame
- Lycamobile bestätigt: Netzprobleme seit mehreren Tagen
- evasiOn: Jailbreak für iOS 6.1 bringt Cydia auf iPhone 5 & Co.
- Facebook will via App Nutzer und deren Freunde überwachen
- E-Plus-Jahresbilanz 2012: Mehr Umsatz, weniger Gewinn
- Huawei Ascend W1 kommt für unter 200 Euro auf den Markt
- Drive-by-Downloads, Trojaner und Würmer größte Gefahr im Netz
- Alle Meldungen aus der Kalenderwoche, aus der auch obige Meldung ist
- Alle Meldungen der letzten sieben Tage

Mobile Computing
Finden Sie Ihr Wunschgerät:
Tablet suchen & vergleichen
Smartphone suchen & vergleichen
Netbook- und Tablet-Suche
Acer
Iconia-Tab B1
Touchscreen
Bluetooth: 4.0
Acer
Iconia A1-810
Touchscreen
Bauform: Tablet-PC
>> alle Geräte finden
----
mobicroco im Web 2.0
Folgen Sie uns auf Twitter Werden Sie mobicroco-Fan auf Facebook Abonnieren Sie den Youtube-Channel von mobicroco.de Der teltarif-RSS-Feed
Werbung
Hier klicken!

Hier klicken!

Festnetz-Tarifrechner
Wohin wollen Sie telefonieren?
Weitere Tarifrechner
Internet-Rechner
Wann wollen Sie online gehen?
  
Welche Preisangabe?
Nur Tarife mit längerer Gültigkeit
Genauer Vergleich

 
Alle Texte und Tabellen © 1997 - 2013 teltarif.de Onlineverlag GmbH
[Homepage] · [Unternehmen] · [Impressum/AGB] · [Ihre Daten] · [Feedback] · [Mediadaten] · [Partnerprogramm] · [Presse] · [Jobs]
*) teltarif.de registrierte zuletzt 1 290 000 Unique User pro durchschnittl. Monat
Quelle: teltarif.de: AGOF internet facts 2013-02 Erwachsene ab 14 Jahre