原标题:几行CSS代码就能令iPhone系统崩潰并重新启动
漏洞最有可能影响使用WebKit呈现引擎显示网页的任何IOS和macOS应用程序到目前为止Apple仍然在调查。安全研究人员发现Safari使用的WebKit渲染引擎中存在一个漏洞该漏洞会令使用IOS操作系统的iPhone和iPad系统崩溃并重新启动。
可以通过加载使用特制CSS代码的HTML页面来利用此漏洞CSS代码不是很复杂,並尝试将一种称为backdrop-filter的CSS效果应用于一系列嵌套页面段(DIV)
背景过滤器是一种相对较新的CSS属性,通过模糊或颜色移动到元素后面的区域来工莋这是一项繁重的处理任务,一些软件工程师和Web开发人员推测这种效果的渲染会对IOS的图形处理库造成影响,最终导致移动操作系统崩潰
Sabri Haddouche是加密即时消息应用程序Wire的软件工程师和安全研究员,也是他发现了这个漏洞并在近日早些时候在Twitter上发布了概念验证代码。
此链接將使您的iOS设备崩溃而此链接将显示此漏洞背后的源代码。Haddouche还在推特上发布了一个漏洞导致手机崩溃的视频短片Haddouche 在采访中称“攻击使用webkit-backdrop-filter CSS屬性中的弱点,该属性使用3D加速来处理它们背后的元素”“通过使用具有该属性的嵌套div,我们可以快速消耗所有图形资源并冻结或内核恐慌OS”Haddouche还表示该漏洞也会影响macOS系统,而不仅仅是iOS
研究人员告诉媒体说:“利用当前的攻击(仅限CSS / HTML),它只会冻结Safari一分钟然后放慢速度” “之后你就可以关闭标签了。”“为了使它适用于macOS它需要一个包含Java的修改版本,” “我没有发布它的原因是似乎Safari在强制重启后仍嘫存在并且浏览器再次启动,因此在恶意页面再次执行时会破坏用户的会话”
研究人员表示,在Twitter上发布代码之前他已经通知了Apple这个问題。“我使用他们的安全产品电子邮件联系了他们”Haddouche告诉媒体“他们证实他们收到了这个问题并正在调查它。”
Haddouche告诉媒体称他在研究多個浏览器上可靠的拒绝服务(DoS)错误时发现了这个漏洞在本月初,Haddouche还发布了另一个利用一行Java破坏Chrome和Chrome OS的漏洞
另一方面,正如一位iOS开发人員告诉媒体的那样这个漏洞可能比以前想象的存在更广泛。这是因为Apple强制App Store上列出的所有浏览器和支持HTML的应用程序都使用其WebKit渲染引擎这意味着该问题很可能会导致任何能够加载网页的应用程序崩溃。
目前苹果公司还未对这一事件做出正面回应