Eine manipulierte Bilddatei im PNG-Format hat in Apples ImageIO-Framework offenbar eine verwundbare Stelle erwischt, die im schlimmsten Fall das gesamte System zum Absturz bringen kann. Der dahinter liegende Null-Pointer-Fehler könnte von Angreifern dazu verwendet werden, schädliche Programmanweisungen einzuschleusen.

Vom Fehler betroffen sind zahlreiche Apps, die PNG-Bilder anzeigen. Neben Mail und Safari gehören auch iMessage und Vorschau zu den Einfallstoren. Beim Anzeigen des PNG stürzt dann die App oder sogar das System ab. Immerhin hat Apple zumindest bei iOS offenbar zeitnah reagiert und den Fehler mit iOS 9.3.1 behoben.

In OS X wurde die Sicherheitslücke von Apple laut dem Sicherheitsexperten Lander Brandt noch nicht geschlossen. Eigenen Angaben zufolge hatte er Apple am 16. Dezember über das Sicherheitsproblem informiert. In seinen Tests hat sich gezeigt, dass die Lücke mindestens seit iOS 7.1 (10. März 2014) existiert.

Weiterführende Links:

• Blog von Lander Brandt