Unicode-Bug - Versionsgeschichte

TheScath: /* growthexperiments-addlink-summary-summary:3|0|0 */

2024-10-07T12:20:02Z

Linkvorschlag-Funktion: 3 Links hinzugefügt.

← Nächstältere Version		Version vom 7. Oktober 2024, 14:20 Uhr
Zeile 1:		Zeile 1:
	Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein Computersystem oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.		Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein Computersystem oder [[Mobilgerät]] bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.

	== Fehlermechanismus und Behebung ==		== Fehlermechanismus und Behebung ==
Zeile 18:		Zeile 18:
	Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (IIS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \|BuchID=WD6s5DwfLSsC \|Seite=144 \|Linktext=144–146 \|KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \|BuchID=AWO-AQAAQBAJ \|Seite=1864 \|Linktext=1864f \|KeinText=yes}}.</ref>		Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (IIS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \|BuchID=WD6s5DwfLSsC \|Seite=144 \|Linktext=144–146 \|KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \|BuchID=AWO-AQAAQBAJ \|Seite=1864 \|Linktext=1864f \|KeinText=yes}}.</ref>

	Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \|BuchID=nZVCAwAAQBAJ \|Seite=153 \|Linktext=153–155 \|KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>		Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \|BuchID=nZVCAwAAQBAJ \|Seite=153 \|Linktext=153–155 \|KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem [[Webserver]] ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>

	=== „Unicode of Death“ auf Apple iOS (2013) ===		=== „Unicode of Death“ auf Apple iOS (2013) ===
Zeile 29:		Zeile 29:

	=== „Single Unicode Symbol“ auf Apple iOS (2018) ===		=== „Single Unicode Symbol“ auf Apple iOS (2018) ===
	Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/ This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>		Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, [[Twitter]], wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/ This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>

	=== „Black Dot“ auf Apple iOS und Android (2018) ===		=== „Black Dot“ auf Apple iOS und Android (2018) ===

Invisigoth67: typo, form

2024-03-30T15:41:18Z

typo, form

← Nächstältere Version		Version vom 30. März 2024, 17:41 Uhr
Zeile 4:		Zeile 4:
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als der [[Unicode-Standard]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als der [[Unicode-Standard]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[~~Bidirektionales_Steuerzeichen~~\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[Bidirektionales Steuerzeichen\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.

	Im Support von verschiedenen [[Kodierung~~\|Kodierungen~~]] wie [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die nur für UTF-8 entwickelt wurde, wird beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen und umgekehrt.		Im Support von verschiedenen [[Kodierung]]en wie [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die nur für UTF-8 entwickelt wurde, wird beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen und umgekehrt.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).
Zeile 34:		Zeile 34:
	Der Black-Dot-Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichtenapp zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>		Der Black-Dot-Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichtenapp zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>

	Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den Bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>		Der Bug wurde erstmals im Mai 2018 publiziert und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den Bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>

	== Einzelnachweise ==		== Einzelnachweise ==

CamelBot: Bot: linkfix: entfernung von tracking-parameter; siehe user:CamelBot.

2024-03-28T12:01:17Z

Bot: linkfix: entfernung von tracking-parameter; siehe user:CamelBot.

← Nächstältere Version		Version vom 28. März 2024, 14:01 Uhr
Zeile 29:		Zeile 29:

	=== „Single Unicode Symbol“ auf Apple iOS (2018) ===		=== „Single Unicode Symbol“ auf Apple iOS (2018) ===
	Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/~~?_ga=2.46138276.226298270.1534329244-1368387527.1534329244~~ This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>		Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/ This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>

	=== „Black Dot“ auf Apple iOS und Android (2018) ===		=== „Black Dot“ auf Apple iOS und Android (2018) ===

Neutronstar2: /* Fehlermechanismus und Behebung */

2024-03-28T11:10:43Z

Fehlermechanismus und Behebung

← Nächstältere Version		Version vom 28. März 2024, 13:10 Uhr
Zeile 2:		Zeile 2:

	== Fehlermechanismus und Behebung ==		== Fehlermechanismus und Behebung ==
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als der [[Unicode-Standard]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[Bidirektionales_Steuerzeichen\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[Bidirektionales_Steuerzeichen\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.

Duschgeldrache2: Kat erg; Sortierung korr; Alternativname erg

2022-08-19T01:11:55Z

Kat erg; Sortierung korr; Alternativname erg

← Nächstältere Version		Version vom 19. August 2022, 03:11 Uhr
Zeile 16:		Zeile 16:

	=== „IPP Integer Overflow Exploit“ auf Microsoft IIS (2000) ===		=== „IPP Integer Overflow Exploit“ auf Microsoft IIS (2000) ===
	Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (IIS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \| BuchID=WD6s5DwfLSsC \| Seite=144 \| Linktext=144–146 \| KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \| BuchID=AWO-AQAAQBAJ \| Seite=1864 \| Linktext=1864f \| KeinText=yes}}.</ref>		Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (IIS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \|BuchID=WD6s5DwfLSsC \|Seite=144 \|Linktext=144–146 \|KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \|BuchID=AWO-AQAAQBAJ \|Seite=1864 \|Linktext=1864f \|KeinText=yes}}.</ref>

	Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \| BuchID=nZVCAwAAQBAJ \| Seite=153 \| Linktext=153–155 \| KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>		Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \|BuchID=nZVCAwAAQBAJ \|Seite=153 \|Linktext=153–155 \|KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>

	=== „Unicode of Death“ auf Apple iOS (2013) ===		=== „Unicode of Death“ auf Apple iOS (2013) ===
Zeile 43:		Zeile 43:
	[[Kategorie:MacOS-Software]]		[[Kategorie:MacOS-Software]]
	[[Kategorie:Windows-Software]]		[[Kategorie:Windows-Software]]
	[[Kategorie:~~Unicode~~]]		[[Kategorie:Android-Software]]
			[[Kategorie:Unicode\|Bug]]
			{{DEFAULTSORT:UnicodeBug}}

Mmru: /* Fehlermechanismus und Behebung */ Aussagen über Unicode-Weiterentwicklung, UTF-2 und Kodierungen verbessert

2019-12-03T19:07:22Z

Fehlermechanismus und Behebung: Aussagen über Unicode-Weiterentwicklung, UTF-2 und Kodierungen verbessert

← Nächstältere Version		Version vom 3. Dezember 2019, 21:07 Uhr
Zeile 4:		Zeile 4:
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. ~~Zwischen~~ ~~Support~~ ~~für~~ ~~[[UTF~~-~~2]],~~ [[UTF-8]] ~~und~~ [[~~UTF-16~~]] bestehen ~~große~~ ~~Unterschiede~~. ~~Eine~~ ~~Software,~~ ~~die~~ ~~für~~ ~~UTF-~~2 ~~getestet~~ ~~wurde,~~ ~~kann~~ ~~beim~~ ~~Empfang~~ von ~~UTF~~-16-~~Nachrichten~~ ~~ein~~ ~~unerwünschtes~~ Verhalten ~~zeigen~~.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[Bidirektionales_Steuerzeichen\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.

			Im Support von verschiedenen [[Kodierung\|Kodierungen]] wie [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die nur für UTF-8 entwickelt wurde, wird beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen und umgekehrt.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).

Ferdinand f.: /* „IPP Integer Overflow Exploit“ auf Microsoft IIS (2000) */ Typo

2019-07-28T14:43:53Z

„IPP Integer Overflow Exploit“ auf Microsoft IIS (2000): Typo

← Nächstältere Version		Version vom 28. Juli 2019, 16:43 Uhr
Zeile 14:		Zeile 14:

	=== „IPP Integer Overflow Exploit“ auf Microsoft IIS (2000) ===		=== „IPP Integer Overflow Exploit“ auf Microsoft IIS (2000) ===
	Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (~~ISS~~) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \| BuchID=WD6s5DwfLSsC \| Seite=144 \| Linktext=144–146 \| KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \| BuchID=AWO-AQAAQBAJ \| Seite=1864 \| Linktext=1864f \| KeinText=yes}}.</ref>		Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim [[Internet Printing Protocol]] (IPP) auf, so wie es von [[Microsoft]] als [[ISAPI]] in [[Microsoft Internet Information Services]] (IIS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.<ref>Stuart McClure, Saumil Shah, Shreeraj Shah: ''Web Hacking: Attacks and Defense''. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. {{Google Buch \| BuchID=WD6s5DwfLSsC \| Seite=144 \| Linktext=144–146 \| KeinText=yes}}.</ref> Im Oktober 2001 setzte das [[FBI]] in Zusammenarbeit mit dem ''System Administration, Networking, and Security'' (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der [[Windows]]-spezifischen [[Sicherheitslücke]]n, gerankt nach Gefährlichkeit.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/10/03/fbi_lists_20_most_dangerous/ FBI lists 20 most dangerous Internet security holes]''. In: ''The Register'' vom 3. Oktober 2001.</ref> Ab IIS Version 6 wurde der Bug behoben.<ref>Volker Hockmann et al.: ''Security of Webservers and Webservices''. In: ''Electronic Services: Concepts, Methodologies, Tools and Applications''. IGI Global, 2010, ISBN 9781615209682, S. {{Google Buch \| BuchID=AWO-AQAAQBAJ \| Seite=1864 \| Linktext=1864f \| KeinText=yes}}.</ref>

	Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \| BuchID=nZVCAwAAQBAJ \| Seite=153 \| Linktext=153–155 \| KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>		Der [[Exploit]] nutzt eine unterschiedliche Größe des [[Puffer (Informatik)\|Buffers]] für [[ASCII]] und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.<ref>David LeBlanc, Michael Howard: ''Writing Secure Code'', 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. {{Google Buch \| BuchID=nZVCAwAAQBAJ \| Seite=153 \| Linktext=153–155 \| KeinText=yes}}.</ref> Durch den Angriff mittels [[Pufferüberlauf\|Buffer Overflow]] kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale [[Dateiberechtigung\|Sicherheitsbefugnisse]] haben, die unbeschränkten Zugriff ermöglichen.<ref>Microsoft: ''[https://docs.microsoft.com/en-us/security-updates/securitybulletins/2001/ms01-023 Microsoft Security Bulletin MS01-023]: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server''. Erstveröffentlichung am 1. Mai 2001.</ref> Der Angriff kann auch als [[Denial of Service]] (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von [[Prozess]]en gestartet wird, die nicht terminieren. Dadurch werden die [[Ressource#Informatik\|Ressourcen]] des angegriffenen Systems aufgebraucht.<ref>John Leyden: ''[https://www.theregister.co.uk/2001/07/03/unicode_bug_restyled_as_dos/ Unicode bug restyled as DoS tool]''. In: ''The Register'' vom 3. Juli 2001.</ref>

RoBri: Revert: Sperrumgehung

2019-01-12T23:33:30Z

Revert: Sperrumgehung

Bornetoner: Änderung 184673092 von RoBri rückgängig gemacht; WP:KORR beachten

2019-01-12T23:32:01Z

Änderung 184673092 von RoBri rückgängig gemacht; WP:KORR beachten

RoBri: Änderungen von Bornetoner (Diskussion) auf die letzte Version von 176.198.232.164 zurückgesetzt

2019-01-12T23:31:27Z

Änderungen von Bornetoner (Diskussion) auf die letzte Version von 176.198.232.164 zurückgesetzt

← Nächstältere Version		Version vom 3. Dezember 2019, 21:07 Uhr
Zeile 4:		Zeile 4:
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. ~~Zwischen~~ ~~Support~~ ~~für~~ ~~[[UTF~~-~~2]],~~ [[UTF-8]] ~~und~~ [[~~UTF-16~~]] bestehen ~~große~~ ~~Unterschiede~~. ~~Eine~~ ~~Software,~~ ~~die~~ ~~für~~ ~~UTF-~~2 ~~getestet~~ ~~wurde,~~ ~~kann~~ ~~beim~~ ~~Empfang~~ von ~~UTF~~-16-~~Nachrichten~~ ~~ein~~ ~~unerwünschtes~~ Verhalten ~~zeigen~~.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. So konnte ein Unicode-Zeichen ursprünglich in [[UTF-16]] nur aus 2 [[Byte]] bestehen, seit Unicode 3.1 können es je nach Zeichen 2 oder 4 Byte sein. Auch die Einführung von neuen Steuerzeichen (z. B. [[Bidirektionales_Steuerzeichen\|rechts-nach-links Steuerzeichen]]) kann zu nicht vorhergesehenem Verhalten führen.

			Im Support von verschiedenen [[Kodierung\|Kodierungen]] wie [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die nur für UTF-8 entwickelt wurde, wird beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen und umgekehrt.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).

← Nächstältere Version		Version vom 13. Januar 2019, 01:33 Uhr
Zeile 1:		Zeile 1:
	Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein ~~Computer-System~~ oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.		Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein Computersystem oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.

	== Fehlermechanismus und Behebung ==		== Fehlermechanismus und Behebung ==
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt, ~~die~~ Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. ~~Zum Beispiel~~ führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten ~~führen~~. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).

	Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.		Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.
Zeile 19:		Zeile 19:

	=== „Unicode of Death“ auf Apple iOS (2013) ===		=== „Unicode of Death“ auf Apple iOS (2013) ===
	Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] ~~and~~ [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus ~~User-Sicht~~ wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>		Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] und [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus Usersicht wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>

	=== „Effective Power“ auf Apple iOS (2015) ===		=== „Effective Power“ auf Apple iOS (2015) ===
	Der ~~„Effective Power“~~-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], ~~die~~ für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>		Der Effective-Power-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], das für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>

	Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>		Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>

	=== „Single Unicode Symbol“ auf Apple iOS (2018) ===		=== „Single Unicode Symbol“ auf Apple iOS (2018) ===
	Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-~~Bug~~ erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>		Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>

	=== „Black Dot“ auf Apple iOS und Android (2018) ===		=== „Black Dot“ auf Apple iOS und Android (2018) ===
	Der ~~“Black Dot”~~ Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native ~~Nachrichten-App~~ zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>		Der Black-Dot-Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichtenapp zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>

	Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den ~~„Black Dot“ bug~~ war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus, und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>		Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den Bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>

	== Einzelnachweise ==		== Einzelnachweise ==

← Nächstältere Version		Version vom 13. Januar 2019, 01:32 Uhr
Zeile 1:		Zeile 1:
	Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein ~~Computersystem~~ oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.		Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein Computer-System oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.

	== Fehlermechanismus und Behebung ==		== Fehlermechanismus und Behebung ==
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. ~~Die~~ Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. ~~Beispielsweise~~ führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt, die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Zum Beispiel führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten ~~führt~~. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führen. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).

	Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.		Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.
Zeile 19:		Zeile 19:

	=== „Unicode of Death“ auf Apple iOS (2013) ===		=== „Unicode of Death“ auf Apple iOS (2013) ===
	Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] ~~und~~ [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus ~~Usersicht~~ wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>		Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] and [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus User-Sicht wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>

	=== „Effective Power“ auf Apple iOS (2015) ===		=== „Effective Power“ auf Apple iOS (2015) ===
	Der ~~Effective-Power~~-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], ~~das~~ für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>		Der „Effective Power“-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], die für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>

	Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>		Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>

	=== „Single Unicode Symbol“ auf Apple iOS (2018) ===		=== „Single Unicode Symbol“ auf Apple iOS (2018) ===
	Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-~~Bugs~~ erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ~~ein~~ Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>		Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bug erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>

	=== „Black Dot“ auf Apple iOS und Android (2018) ===		=== „Black Dot“ auf Apple iOS und Android (2018) ===
	Der ~~Black-Dot-~~Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native ~~Nachrichtenapp~~ zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>		Der “Black Dot” Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichten-App zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>

	Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den ~~Bug~~ war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>		Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den „Black Dot“ bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus, und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>

	== Einzelnachweise ==		== Einzelnachweise ==

← Nächstältere Version		Version vom 13. Januar 2019, 01:31 Uhr
Zeile 1:		Zeile 1:
	Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein ~~Computer-System~~ oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.		Als '''Unicode-Bug''' (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein [[Programmfehler\|Bug]] bezeichnet, bei dem ein Computersystem oder Mobilgerät bzw. darauf laufende [[Software]] oder [[Mobile App\|Apps]] allein durch die Eingabe oder den Empfang von bestimmten [[Unicode]]-Sequenzen zum [[Absturz (Computer)\|Absturz]] oder anderem Fehlverhalten gebracht wird.

	== Fehlermechanismus und Behebung ==		== Fehlermechanismus und Behebung ==
	Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt, ~~die~~ Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. ~~Zum Beispiel~~ führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.		Einige [[Betriebssystem]]e und [[Anwendungsprogramm]]e existieren schon länger als [[Unicode]]. Diese Systeme wurden daher ursprünglich für den [[ASCII]]-Zeichensatz entwickelt. Die Unterstützung von Unicode wurde erst in späteren Versionen eingeführt. Beispielsweise führte Microsoft die Unicode-Unterstützung für seine Betriebssysteme 1993 mit [[Windows NT]] ein, darin waren aber [[Funktion (Programmierung)\|Funktionen]] und [[Programmbibliothek\|Libraries]] aus den älteren Betriebssystemen [[OS/2]] und [[MS-DOS]] enthalten. Da sich der unterstützte Zeichensatz durch alle [[Schichtenarchitektur\|Schichten]] eines Systems (beispielhaft: [[OSI-Modell#Die sieben Schichten\|OSI-Modell]]) zieht, kann es bei der nachträglichen Unterstützung von Unicode zu unerwünschten Effekten und [[Sicherheitslücke]]n kommen.

	Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.		Eine weitere systematische Fehlerquelle ist die Weiterentwicklung von Unicode, mit der manche Betriebssysteme und Anwendungsprogramme nicht Schritt halten, auch wenn sie nativ für Unicode entwickelt wurden. Zwischen Support für [[UTF-2]], [[UTF-8]] und [[UTF-16]] bestehen große Unterschiede. Eine Software, die für UTF-2 getestet wurde, kann beim Empfang von UTF-16-Nachrichten ein unerwünschtes Verhalten zeigen.

	Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten ~~führen~~. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).		Der eigentliche Fehlermechanismus (bzw. die Sicherheitslücke) unterscheiden sich je nach Bug und betroffenem System. Gemeinsam ist den Bugs, dass der reine Empfang, bzw. die Anzeige einer UTF-Sequenz zu einem Fehlverhalten führt. Daher ist das verwundbare System jenes Modul, das den UTF-Text anzeigt (z. B.: [[HTML-Renderer\|Rendering Engine]] eines Browsers) oder weiterleitet. Dabei kommt es zu einem „Übersprung“ zwischen der Anzeige und einem Verhalten des Systems, d. h. die darzustellenden Zeichen werden zu Programmanweisungen (wie beim „IPP Integer Overflow“) oder führen zumindest zu [[Schleife (Programmierung)\|unendlichen Loops]], die das System zum Absturz bringen (wie beim „Black Dot“).

	Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.		Ein universelles Gegenmittel gegen Unicode-Bugs existiert nicht. Wie bei [[Computervirus\|Computerviren]] setzt der Schutz beim betroffenen System selbst an, das mittels [[Patch (Software)\|Patch]] auf den neuesten Stand gebracht werden sollte. Auch die Verbreitung der fehlerauslösenden Unicode-Sequenzen kann behindert werden, so wie das Facebook beim „Effective Power“ Bug getan hat.
Zeile 19:		Zeile 19:

	=== „Unicode of Death“ auf Apple iOS (2013) ===		=== „Unicode of Death“ auf Apple iOS (2013) ===
	Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] ~~and~~ [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus ~~User-Sicht~~ wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>		Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter [[iOS 6]] und [[OS X 10.8]] („Mountain Lion“) auf. Der Bug wurde durch Apple ab [[iOS 7]] und [[OS X 10.9]] („Mavericks“) behoben.<ref name="Chowdhry">Amit Chowdhry: ''[https://www.forbes.com/sites/amitchowdhry/2015/05/29/apple-effective-power-bug/#1b528f96313a Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix]''. In: ''Forbes'' vom 29. Mai 2015.</ref> Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den [[Stack Overflow]], indem das betreffende Programm ([[Instant Messaging\|Messaging App]], [[Web Browser]]) beendet wird. Aus Usersicht wirkt das wie ein unprovozierter [[Absturz (Computer)\|Absturz]] des betreffenden Programms.<ref>Chris Williams: ''[https://www.theregister.co.uk/2013/09/04/unicode_of_death_crash/ Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps]''. In: ''The Register'' vom 4. September 2013.</ref>

	=== „Effective Power“ auf Apple iOS (2015) ===		=== „Effective Power“ auf Apple iOS (2015) ===
	Der ~~„Effective Power“~~-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], ~~die~~ für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>		Der Effective-Power-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf [[Apple iOS\|Apple-iOS]]-Geräten wie [[iPhone]] oder [[iPad]] auf. Die auslösende [[Zeichenkette]] von 75 Zeichen Länge bestand u. a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der [[Programmfehler\|Bug]] befand sich in [[Apple]]s Core-Text-[[Programmierschnittstelle\|API]], das für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in [[Instant Messaging\|Messenger]]-Programmen verbreitet.<ref>Iain Thomson: ''[https://www.theregister.co.uk/2015/05/27/text_message_unicode_ios_osx_vulnerability/ That EVIL TEXT that will CRASH your iPhone: We pop the hood]''. In: ''The Register'' vom 27. Mai 2015.</ref>

	Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>		Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von [[Siri (Software)\|Siri]] die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.<ref>Shaun Nichols: ''[https://www.theregister.co.uk/2015/05/29/siri_apple_reset/ Siri, please save my iPhone from the messages of death]''. In: ''The Register'' vom 29. Mai 2015.</ref> Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen [[Mobile App\|Apps]] generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen [[Bugfix]] im kommenden [[Software-Update]] an.<ref name="Chowdhry" /> Ab Anfang Juni 2015 wurde im [[Facebook Messenger]] die Anzeige der Zeichenfolge unterdrückt.<ref>Leo Becker: ''[https://www.heise.de/newsticker/meldung/iOS-Facebook-blockiert-Nachricht-des-Todes-2680657.html iOS: Facebook blockiert "Nachricht des Todes"]''. In: ''[[heise online]]'' vom 5. Juni 2015</ref>

	=== „Single Unicode Symbol“ auf Apple iOS (2018) ===		=== „Single Unicode Symbol“ auf Apple iOS (2018) ===
	Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-~~Bug~~ erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>		Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version [[iOS (Betriebssystem)#Versionen\|iOS 11.2.5]] sowie auf [[MacBook]] mit [[macOS High Sierra\|OS 10.13]] („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.<ref>Taylor Hatmaker: ''[https://techcrunch.com/2018/02/15/iphone-text-bomb-ios-mac-crash-apple/?_ga=2.46138276.226298270.1534329244-1368387527.1534329244 This new text bomb crashes most Mac and iOS apps with a single Unicode symbol]''. In: ''Techcrunch'' vom 15. Februar 2018.</ref> Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bugs erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u. a. über ein Symbol, das aus Buchstaben der indischen Sprache [[Telugu]] besteht.<ref>Thomas Claburn: ''[https://www.theregister.co.uk/2018/02/15/apple_unicode_bug/ Apple Macs, iThings, smart watches choke on tiny Indian delicacy]''. In: ''The Register'' vom 15. Februar 2018</ref>

	=== „Black Dot“ auf Apple iOS und Android (2018) ===		=== „Black Dot“ auf Apple iOS und Android (2018) ===
	Der ~~“Black Dot”~~ Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native ~~Nachrichten-App~~ zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>		Der Black-Dot-Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichtenapp zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u. a. einen schwarzen Punkt sowie eine Hand.<ref>Leo Becker: ''[https://www.heise.de/mac-and-i/meldung/Black-Dot-Bug-in-iOS-11-Zeichenfolge-legt-Nachrichten-App-auf-iPhone-lahm-4045978.html “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm]''. In: ''Mac & i'' vom 9. Mai 2018.</ref>

	Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den ~~„Black Dot“ bug~~ war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus, und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>		Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [[Android (Betriebssystem)\|Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den Bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.<ref>Martim Lobao: ''[https://www.androidpolice.com/2018/05/05/emoji-message-crashes-android-app-no-big-deal/ There's a emoji message that freezes or completely crashes apps, but it's no big deal]''. In: ''androidpolice.com'' vom 5. Mai 2018.</ref>

	== Einzelnachweise ==		== Einzelnachweise ==