Raymon Mens
Raymon Mens Nieuws 25 april 2016

Oops! Gemanipuleerd png-bestand crasht iOS- en OS X-apps

Vorig jaar werd iOS getroffen door een sms-bug. Een tekst die talen met verschillende leesrichtingen combineerde, zorgde op diverse manieren voor een crash. Beveiligingsonder­zoeker Lander Brandt heeft nu een soort­gelijke fout in Apple’s software gevonden.

Een kan bijna alle iOS en OS X-toepassingen die de weergave van grafische bestanden ondersteunen laten crashen. Apple is op de hoogte en fikst het in de volgende iOS- en OS X-update.

Het probleem doet zich voor wanneer Apple’s ImageIO framework op een deel van een PNG bestand stuit dat wel als ‘chunk’ aangegeven staat, maar geen data bevat. Dit kan door een probleem bij het opslaan van een bestand voorkomen of bewust gedaan worden. Brandt omschrijft diverse scenario’s:

  • De afbeelding via de berichten-app ontvangen met previews aan, laat SpringBoard op iOS crashen.
  • Een bericht met de afbeelding erin laat de berichten-app crashen.
  • Een e-mail met de afbeelding erin laat de mail-app crashen.
  • Een link naar de afbeelding op Twitter laat sommige Twitter-apps (zoals Tweetbot) crashen.
  • De afbeelding in Safari openen laat de browser crashen.

Brandt heeft de bug al in december vorig jaar bij Apple gemeld, maar wacht nog steeds op een bevestiging. Uit onze tests blijkt dat iOS 9.3.1 en OS X 10.11.4 crashen. De beta’s van iOS 9.3.2 en OS X 10.11.5 crashen niet meer. Alle voorgaande versies van iOS, zoals iOS 7 en 8, blijven kwetsbaar omdat Apple deze niet meer bijwerkt. Je kunt van een gemanipuleerd PNG-bestand vinden. Openen op eigen risico.
(Dit artikel meldde eerder dat de beta van iOS 9.3.1 niet vatbaar voor de crash is, dit moet iOS 9.3.2 zijn en is gecorrigeerd)

Reageer op artikel:
Oops! Gemanipuleerd png-bestand crasht iOS- en OS X-apps
Sluiten