"Month of Apple Bugs" greift Mac-User an

Die MoAB-Meldung zum Fehler in iChat Bonjour enthält ein verstecktes Osterei: Sie bindet eine präparierte JPEG-2000-Datei namens heat-up.jp2 ein, die dazu führt, dass Safari einfriert.

In Pocket speichern vorlesen Druckansicht 346 Kommentare lesen
Lesezeit: 2 Min.

Die im Rahmen des "Month of Apple Bugs" veröffentlichte Meldung zum Fehler in iChat Bonjour (MoAB-29) enthält ein verstecktes Osterei. Sie bindet eine präparierte JPEG-2000-Datei namens heat-up.jp2 ein, die dazu führt, dass Safari einfriert. Ein Kommentar im HTML-Quelltext enthüllt, dass dieser Effekt durchaus beabsichtigt ist:

Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper

Frei übersetzt bedeutet das in etwa: "Benutz nie wieder ein Macbook im Bett, um die MoAB-Seiten aufzusuchen, sonst verbrennst du dir deine Weichteile". Einer der Entwickler in der MoAB-Fix-Gruppe hat analysiert, dass das Bild eine ziemlich lange – möglicherweise sogar endlose – Schleife in der JPEG2000-Bibliothek libJP2.dylib der Coregraphics provoziert.

Dies ist nicht der erste kindische "Streich", den sich das MoAB-Team erlaubt. Wer versuchte, Fehlerberichte vorab durch Erraten der Dateinamen abzurufen, wurde mit extrem widerlichen, pornografischen Bildern konfrontiert. Nachdem heise Security darüber berichtete und die Einschätzung, dies sei kindisches Verhalten, nicht zurücknahm, beschuldigte LMH die Redaktion, sie sei ihrerseits an "illegalen, betrügerischen und böswilligen" Aktivitäten beteiligt.

Dabei hatte er lediglich übersehen, dass bereits Stunden vor der englischen Meldung eine deutsche erschienen war und offenbar die Aktivitäten der heise-Leser als Denial-of-Service- und Brute-Force-Angriff der Redaktion interpretiert. Der Zeitraum der in diesem Kontext veröffentlichten Log-Dateien beginnt jedenfalls nach der Veröffentlichung der deutschen Meldung, und es taucht keine einzige Heise-Adresse darin auf. Auf eine Bitte der Redaktion, diese Aussagen zu berichtigen, wurde bislang nicht reagiert.

Des Weiteren berichten IRC-User, dass sie anscheinend im Rahmen eines Vorab-Live-Tests der Lücke im IRC-Client Colloquy im IRC angegriffen worden seien. Die MoAB-Initiatoren behaupten jedoch, sie selbst seien daran nicht beteiligt gewesen. (ju)