Apple Mac: Öffnet der "File"-Absturz eine Sicherheitslücke?

Betroffen sind viele Anwendungen unter Mac OS X 10.8

Zeicheneingabe sorgt für Software-Absturz Zeicheneingabe sorgt für Software-Absturz
Foto: teltarif Derzeit kursiert es eher als Gag durch diverse Medien, aber die Hintergründe sind womöglich ernster, als es auf dem ersten Blick aussieht: Im aktuellen Apple-Betriebssystem Mac OS X 10.8, das auch die Bezeichnung Mountain Lion trägt, hat sich ein Fehler eingeschlichen, der viele Anwendungen durch die bloße Eingabe einer Zeichenkombination zum Absturz bringt. Die Applikationen können danach sofort wieder gestartet werden. Unklar ist, ob durch den Fehler weitere Aktionen ausgelöst werden können.

Bei der Zeichenkombination handelt es sich um File:/// bzw. FiLe:/// oder auch filE:///. Betroffen sind unter anderem der Apple-eigene Safari-Browser, aber auch die zum Betriebssystem gehörende E-Mail-Anwendung, die Medienverwaltungs-Software iTunes, das Adressbuch und der Kalender, wie sich im kurzen Test von teltarif.de gezeigt hat. Werden alle Buchstaben klein geschrieben, so stürzt die gerade genutzte Anwendung dagegen nicht ab, wie sich in einem weiteren Test gezeigt hat. Dagegen lässt sich der Fehler unter anderem auch durch die Eingabe der Kombination File://a/ bzw. File://abc hervorrufen.

Bericht: Fehler liegt in der zentralen Rechtschreibkorrektur

Zeicheneingabe sorgt für Software-Absturz Zeicheneingabe sorgt für Software-Absturz
Foto: teltarif Einem Bericht von heise online zufolge ist der Fehler in der zentralen Rechtschreibkorrektur des Betriebssystems zu suchen. Von den Abstürzen seien ausschließlich Anwendungen betroffen, die die Rechtschreibkorrektur nutzten. Diese Apps würden wiederum "zuverlässig" den Dienst versagen, nachdem beispielsweise File:/// eingegeben wird.

Das Problem ist dabei nach übereinstimmenden Berichten zahlreicher Quellen, dass die genannten Zeichenkombinationen ähnlich wie die URL einer lokalen Datei aussehen, aber nicht ganz richtig geschrieben sind, denn in URLs muss file immer klein geschrieben werden. Die Rechtschreibkorrektur gibt jedoch nicht nur echte file-URLs, sondern auch falsch geschriebene fiLE-URLs an eine Unterroutine weiter, um weitere Prüfungen durchzuführen. Diese Unterroutine verlangt jedoch nach der korrekten Schreibweise und beendet sich deswegen mit einem Fehlerzustand (die Programmierer nennen diesen: Exception). Der Teil, der die Unterroutine aufgerufen hat, fängt diesen Fehlerzustand nicht ab, und so stürzt dann das ganze Programm ab.

Wie es weiter heißt, erzeugen die Abstütze zwar Traceback-Dateiengen. Sobald man sich diese in der Konsole anzeigen lässt, stürzt auch diese ab, weil auch in der Fehlermeldung des Tracebacks die falsche URL genannt wird.

Zum Glück lässt sich so ein Programmabsturz wegen einer nicht gefangenen Exception in der Regel nicht in einen Exploit verwandeln, der Trojaner einschleust, die die Kontrolle über das System übernehmen. Aber ein so genannter "Denial of Service" ist mit diesem Bug möglich: In einem Test von teltarif.de brachte eine speziell präparierte Website Safari zum Hängen. Da sich Webseiten auch in E-Mails einbinden lassen, lässt sich über diesen Fehler wahrscheinlich auch die E-Mail-Software lahmlegen. Auch PDFs mit Formularen und andere Medien dürften grundsätzlich angreifbar sein.

Dass die Rechtschreibkorrektur überhaupt file:-URLs anfasst, hinterlässt ebenfalls kein gutes Gefühl: Schließlich verweisen diese auf lokale Dateien. Zwar ist es unwahrscheinlich, dass sich über die Korrektur von file:-URLs ein Angreifer des Inhalts einer Datei bemächtigen könnte. Aber in vielen Fällen gibt schon das Wissen über die Existenz einer Datei einem Angreifer wertvolle Informationen. Und dieses wird möglicherweise tatsächlich preisgegeben.

Abhilfe derzeit nur teilweise möglich

Zumindest teilweise lässt sich das Problem mit der File-verwirrten Rechtschreibkorrektur beheben, indem in den Systemeinstellungen im Untermenü "Sprache & Text" die automatische Rechtschreibkorrektur inklusive der Textersetzung kurzerhand abgeschaltet wird. Wie sich im Test von teltarif.de gezeigt hat, wird der Fehler so allerdings nicht in allen Apps ausgeschaltet.

Aufgrund der genannten Probleme, insbesondere den von entfernt auslösbaren Software-Hängern, ist Apple gefordert, den Fehler mit einem Software-Update zu beheben. Wann dies erfolgt, ist allerdings noch unklar. Zumindest in der bislang nur für Entwickler freigegebenen Beta-Version für das nächste Firmware-Update lassen sich die App-Abstürze noch provozieren und reproduzieren.

Weitere Meldungen zu Apple-Produkten

15.05.24 - Apple: Neues iPad Air & iPad Pro ab sofort verfügbar
14.05.24 - Apple & Google: Gemeinsamer Standard gegen Stalking
13.05.24 - iPhone: Update auf iOS 17.5 steht zum Download bereit
11.05.24 - Apple-Samsung-Rangliste: Die meistverkauften Smartphones
11.05.24 - iOS 17.5: Neue iPhone-Software vor dem Start
11.05.24 - LTE in der Berliner U-Bahn ausprobiert: Endlich Breitband
09.05.24 - Gerücht: Faltbares iPhone & 20,3-Zoll-Gerät kommen eher
08.05.24 - Bis zu 3700 Euro: Die neuen iPad-Preise im Detail
08.05.24 - Mobilfunk: Diese Einschränkung gibt es bei den neuen iPads
07.05.24 - Schneller und mit Highend-Display: Das sind die neuen iPads
07.05.24 - Tablet-Markt Q1 2024: Diese Flachrechner sind sehr beliebt
03.05.24 - Nach Kritik: Apple lenkt bei Gebühren für App-Entwickler ein
02.05.24 - Übersicht: Aktuelle Smartphones mit 5G-Mobilfunk
29.04.24 - EU: Apple muss auch iPad für alternative App-Stores öffnen
23.04.24 - Apple lädt zum iPad-Event ein: Termin steht fest
22.04.24 - iPhone: Konkurrenz für Apple Pay vor dem Start
21.04.24 - China: Apple muss WhatsApp und Threads entfernen
19.04.24 - iPhone Leak: Diese Features kommen mit iOS 18
18.04.24 - AltStore gestartet: Erste AppStore-Alternative für das iPhone
17.04.24 - iOS 17.5 Beta 2 bringt große Neuerung auf das iPhone
15.04.24 - Samsung verdrängt Apple wieder vom Smartphone-Thron
12.04.24 - Leak: Spezifikationen des iPhone SE 4 durchgesickert
12.04.24 - iPhone-Reparatur: Apple erlaubt gebrauchte Ersatzteile
12.04.24 - Vodafone: Mobilfunktarif direkt auf dem iPad abschließen
11.04.24 - Apple, Samsung, Google: So viel kosten die Flaggschiffe jetzt
11.04.24 - iPhone mit Falt-Display: Darum könnte es 2025 kommen
08.04.24 - Preischeck: iPhones mit viel Speicher bei Amazon
07.04.24 - iPhone: Musik-Abos außerhalb des AppStores abschließbar
06.04.24 - Stimmisolation: Klarere Sprachanrufe mit dem iPhone
05.04.24 - iPhone: Sound-Probleme mit Apple CarPlay
05.04.24 - Gravis-Ausverkauf: Rabatte auf iPhone, Macbook & Co.
04.04.24 - Apple Haushalts-Roboter: Der Traum betuchter Senioren?
03.04.24 - iOS 17.5: Echtes "App-Sideloading" kommt aufs iPhone
02.04.24 - iPhone: AltStore will zur AppStore-Alternative werden
29.03.24 - iPhone 12 jetzt mit Qi2-Aufladen, neue iPads wohl im Mai
27.03.24 - WWDC 2024: Termin für iOS 18 und macOS 15 steht fest
27.03.24 - Deutsche Telekom: "Glasfaser-Ausbau zieht wieder an"
26.03.24 - Apple: Updates für MacOS und Infos zu iOS-Updates
25.03.24 - iOS 18: Größtes iPhone-Update seit Jahren erwartet
25.03.24 - EU gegen Apple, Facebook & Google: Hohe Strafen drohen
mehr…