Tre tegn kveler Apple

Alvorlig feil ødelegger for iPhone og Mac.

AUDA: Apple-sjef Tim Cook bør snarest komme med en feilfiks som fjerner en alvorlig sårbarhet i både iOS og OS X.
AUDA: Apple-sjef Tim Cook bør snarest komme med en feilfiks som fjerner en alvorlig sårbarhet i både iOS og OS X. Bilde: Justin Sullivan/Getty Images/All Over Press
29. aug. 2013 - 11:55

En liten snutt med arabiske tegn er nok til å sette Apple-programmer fullstendig ut av spill. Programmene krasjer øyeblikkelig og lar seg ikke åpne igjen.

Langt på vei de fleste iPhone og Mac-maskiner er berørt av den ødeleggende feilen, som rammer de nyeste utgavene av både iOS og OS X.

Sårbarheten blir i dag flittig diskutert på nettstedet Hacker News. I en serie innlegg blir det avslørt hvordan flere ulike tekststrenger fører til krasj.

Vi har ikke lyst til å gjenta tegnene i denne artikkelen (det ville krasjet nettleseren til mange lesere). Det korteste eksempelet er ikke lengre enn tre unicode-tegn.

digi.no kan bekrefte at sekvensen krasjer nettleseren Safari, såvel som det innebygde e-postprogrammet og SMS-appen på iPhone, men problemet er ikke begrenset til disse.

Å besøke en webside som inneholder tegnene får Safari-nettleseren til å knele. Det er ille nok, men i denne sammenhengen ikke det verste. Vi rakk ihvertfall å lukke den aktuelle fanen når vi gjenåpnet nettleseren.

SMS-angrep

Da er det verre med SMS-appen, som krasjer ustanselig hvis du mottar en tekstmelding bestående av nevnte tegn. Programmet blir for alle praktiske hensyn ubrukelig, og det hjelper ikke å reboote mobilen.

Etter mye plunder og heft kom digi.no opp med en metode som lot oss slette tekstmeldingen. For de som rammes av problemstillingen kan denne oppskriften muligens hjelpe:

Først må du få en iPhone-bruker til å sende deg en iMessage. Deretter åpner du kontaktlisten og velger en kontakt (ikke vedkommende som sendte deg krasje-meldingen), og herfra velger du «send melding». Dette tar deg tilbake til meldingsappen. Du skal nå ikke skrive en ny melding, men klikke tilbake-knappen («meldinger») øverst til venstre. Forhåpentligvis kikker du nå på oversikten over innkomne meldinger. Her må du ikke klikke på «krasje-meldingen», men derimot sveipe fingeren over oppføringen til det dukker opp en rød sletteknapp. Trykk på denne for å slette alle meldinger fra kilden.

Feilen ligger i Apples rammeverk for tekstplassering, CoreText, ifølge opplysningene på Hacker News. Dette rammeverket inngår både i OS X og iOS og sårbarheten rammer derfor bredt.

Hva skjer hvis noen oppretter et trådløst nettverk med navn (SSID) bestående av disse tekststrengene? WiFi-appen som fanger opp nettverket går ned. Samme sekvens i sosiale medier kan få appene som leser dem til å krasje, og så videre. (Ja, vi har allerede sett twitter-meldinger som inneholder tegnene.)

Prøveutgavene av kommende iOS7 og OS X «Mavericks» (10.9) er ifølge oppslagene ikke berørt av sårbarheten.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.