Unicode-Bug

Dieser Artikel ist im Entstehen und noch nicht Bestandteil der freien Enzyklopädie Wikipedia.

Solltest du über eine Suchmaschine darauf gestoßen sein, bedenke, dass der Text noch unvollständig sein und Fehler oder ungeprüfte Aussagen enthalten kann. Wenn du Fragen zum Thema hast, nimm Kontakt mit den Autoren auf.

Als Unicode-Bug (auch „Unicode of Death“ bzw. Bug-spezifische Namen) wird ein Bug bezeichnet, bei dem ein Computer-System oder Mobilgerät bzw. darauf laufende Software oder Apps allein durch die Eingabe oder den Empfang von bestimmten Unicode-Sequenzen zum Absturz oder anderem Fehlverhalten gebracht wird.

Die folgende Aufzählung in chronologischer Folge ist beispielhaft.

Der „IPP Integer Overflow Exploit“ (auch „IPP Buffer Overrun Vulnerability“) trat beim Internet Printing Protocol (IPP) auf, so wie es von Microsoft als ISAPI in Microsoft Internet Information Services (ISS) umgesetzt wurde. Der Bug wurde erstmals im Oktober 2000 publiziert.^[1] Im Oktober 2001 setzte das FBI in Zusammenarbeit mit dem System Administration, Networking, and Security (SANS) Institut den Bug unter dem Namen „Unicode Vulnerability (Web Server folder traversal)“ auf Platz 2 der Windows-spezifischen Sicherheitslücken, gerankt nach Gefährlichkeit.^[2] Ab IIS Version 6 wurde der Bug behoben.^[3]

Der Exploit nutzt eine unterschiedliche Größe des Buffers für ASCII und Unicode aus. Der ausgenutzte Fehler findet sich in der Umsetzung von IPP, nicht im IIS-Server selbst.^[4] Durch den Angriff mittels Buffer Overflow kann Programmiercode nach Wahl des Angreifers auf dem Webserver ausgeführt werden, der Code kann dabei lokale Sicherheitsbefugnisse haben, die unbeschränkten Zugriff ermöglichen.^[5] Der Anfgriff kann auch als Denial of Service (DoS) erfolgen, indem auf dem angegriffenen IIS-Server eine große Anzahl von Prozessen gestartet wird, die nicht terminieren. Dadurch werden die Ressourcen des angegriffenen Systems aufgebraucht.^[6]

Im August 2013 trat ein als „Unicode of Death“ bezeichneter Bug unter iOS 6 and OS X 10.8 („Mountain Lion“) auf. Der Bug wurde durch Apple ab iOS 7 und OS X 10.9 („Mavericks“) behoben.^[7] Das Fehlverhalten wird ausgelöst, wenn die Komponente CoreText eine spezielle Unicode-Sequenz von fünf 16-Bit-Zeichen darstellen soll. Der Kernel reagiert auf den Stack Overflow, indem das betreffende Programm (Messaging App, Web Browser) beendet wird. Aus User-Sicht wirkt das wie ein unprovozierter Absturz des betreffenden Programms.^[8]

Der „Effective Power“-Bug (in Anlehnung an ältere Vorkommnisse auch als „Unicode of Death“ bezeichnet) trat ab Mai 2015 auf Apple-iOS-Geräten wie iPhone oder iPad auf. Die auslösende Zeichenkette von 75 Zeichen Länge bestand u.a. aus dem Text „effective. Power“ und arabischen Schriftzeichen. Der Bug befand sich in Apples Core-Text-API, die für Textdarstellung und Schriften zuständig ist. Nach Bekanntwerden des Problems Ende Mai 2015 hatte sich die Zeichenfolge in Messenger-Programmen verbreitet.^[9]

Durch den Bug war es teilweise nicht möglich, ein Programm wieder zu starten, das im Start-Screen die auslösende Zeichenkette zeigt. Als temporäre Lösung empfahl Apple, mit Hilfe von Siri die entsprechende Nachricht zu löschen, da Siri nur mit Sprachsteuerung und ohne Darstellung der Zeichenkette auskommt.^[10] Das Wiederauftreten des Problems konnte dann behoben werden, indem die Anzeige von Benachrichtigungen in den betroffenen Apps generell abgestellt wurde. Apple kündigte Ende Mai 2015 einen Bugfix im kommenden Software-Update an.^[7] Ab Anfang Juni 2015 wurde im Facebook Messenger die Anzeige der Zeichenfolge unterdrückt.^[11]

Im Februar 2018 wurde ein Bug bekannt, der sich auf iPhones bis hin zu Version iOS 11.2.5 sowie auf MacBook mit OS 10.13 („High Sierra“) auswirkt. Durch den Bug werden Mail, Twitter, wie auch Chrome zum Absturz gebracht, teilweise ist eine Neuinstallation erforderlich.^[12] Im Gegensatz zu den meisten anderen Unicode-Eingabe-Bug erfordert dieser Bug nur ein einziges Symbol, berichtet wurde u.a. über Symbol, das aus Buchstaben der indischen Sprache Telugu besteht.^[13]

Der “Black Dot” Bug wirkte ab Mai 2018 auf iPhones und iPads mit iOS 10 oder 11. Dabei brachte eine bestimmte Zeichenfolge die native Nachrichten-App zum Absturz. Die Zeichenfolge musste dazu bestimmte Emojis enthalten, u.a. einen schwarzen Punkt sowie eine Hand.^[14]

Der Bug wurde erstmals im Mai 2018 publiziert, und tritt auf [Android]]-Geräten auf. Die Nachricht scheint nur aus einem schwarzen Punkt zu bestehen, der namensgebend für den „Black Dot“ bug war. Jedoch enthalten die auslösenden Nachrichten auch unsichtbaren Text. Diese nutzen eine Verwundbarkeit der Android Textdarstellungs-Engine aus, und verwenden dabei Symbole, welche die Darstellungsrichtung des Textes (Links-zu-Rechts bzw. Rechts-nach-Links) steuern.^[15]

1. ↑ Stuart McClure, Saumil Shah, Shreeraj Shah: Web Hacking: Attacks and Defense. Addison-Wesley, Boston 2003, ISBN 9780201761764, S. 144–146.
2. ↑ John Leyden: FBI lists 20 most dangerous Internet security holes. In: The Register vom 3. Oktober 2001.
3. ↑ Volker Hockmann et al.: Security of Webservers and Webservices. In: Electronic Services: Concepts, Methodologies, Tools and Applications. IGI Global, 2010, ISBN 9781615209682, S. 1864f.
4. ↑ David LeBlanc, Michael Howard: Writing Secure Code, 2. Auflage. Pearson Education, 2002, ISBN 9780735637405, S. 153–155.
5. ↑ Microsoft: Microsoft Security Bulletin MS01-023: Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server. Erstveröffentlichung am 1. Mai 2001.
6. ↑ John Leyden: Unicode bug restyled as DoS tool. In: The Register vom 3. Juli 2001.
7. ↑ ^{a b} Amit Chowdhry: Apple Acknowledges Disastrous iPhone Messages Bug, Suggests This Temporary Fix. In: Forbes vom 29. Mai 2015.
8. ↑ Chris Williams: Anatomy of a killer bug: How just 5 characters can murder iPhone, Mac apps. In: The Register vom 4. September 2013.
9. ↑ Iain Thomson: That EVIL TEXT that will CRASH your iPhone: We pop the hood. In: The Register vom 27. Mai 2015.
10. ↑ Shaun Nichols: Siri, please save my iPhone from the messages of death. In: The Register vom 29. Mai 2015.
11. ↑ Leo Becker: iOS: Facebook blockiert "Nachricht des Todes". In: heise online vom 5. Juni 2015
12. ↑ Taylor Hatmaker: This new text bomb crashes most Mac and iOS apps with a single Unicode symbol. In: Techcrunch vom 15. Februar 2018.
13. ↑ Thomas Claburn: Apple Macs, iThings, smart watches choke on tiny Indian delicacy. In: The Register vom 15. Februar 2018
14. ↑ Leo Becker: “Black Dot Bug” in iOS 11: Zeichenfolge legt Nachrichten-App auf iPhone lahm. In: Mac & i vom 9. Mai 2018.
15. ↑ Martim Lobao: There's a emoji message that freezes or completely crashes apps, but it's no big deal. In: androidpolice.com vom 5. Mai 2018.

Kategorie:Programmfehler Kategorie:IOS-Software Kategorie:MacOS-Software Kategorie:Windows-Software Kategorie:Unicode