新网络攻击：只需访问网页即可完成攻击

已发现一种新的攻击，只需访问包含某些CSS和HTML的网页，就会导致iOS重新启动或重新启动以及macOS冻结。Windows和Linux用户不受此漏洞的影响。

这一新攻击是由Wire的安全研究员Sabri Haddouche发现的 ，他能够设计出一种快速耗尽Apple设备资源的方法，以便在访问网页时崩溃。

“攻击使用-webkit-backdrop-filter CSS属性中的弱点，”Haddouche告诉BleepingComputer。“通过使用具有该属性的嵌套div，我们可以快速消耗所有图形资源并崩溃或冻结操作系统。攻击不需要启用Javascript，因此它也适用于Mail。在macOS上，UI冻结。在iOS上，设备重启。“

此攻击会影响iOS上的所有浏览器，以及macOS中的Safari和Mail，因为它们都使用WebKit渲染引擎。

“iOS上的所有浏览器都受到影响，因为底层渲染引擎是WebKit，”Haddouche解释说。“根据App Store规则，禁止携带自己的渲染引擎。”

根据所使用的iOS版本，它可能会导致重新启动，即重新启动UI，或导致设备重新启动的内核崩溃。例如，Haddouche在iOS 12上进行了测试，设备完全重新启动，但在iOS 11.4.1上，它只引起了部分反馈。

对于macOS，攻击只会导致Mail和Safari冻结一秒钟，然后使计算机运行速度变慢。

Haddouche告诉BleepingComputer，他使用HTML，CSS和JavaScript创建了一个额外的攻击，它将完全冻结macOS计算机。他没有发布它，因为它在重启后仍然存在，macOS也将重新启动Safari与恶意页面，使计算机再次冻结。

只需访问网页即可完成攻击

当用户访问托管此特制CSS和HTML的页面时，根据iOS版本，该设备将快速耗尽所有可用资源。在iOS上，这将导致内核崩溃，重启或重启iOS SpringBoard。

对于Mac用户，这将导致计算机暂时冻结并减慢速度，但您可以关闭Safari选项卡以停止攻击。

为了说明这种攻击，我创建了一个视频，显示当您使用运行iOS 11.4.1的iPhone访问Github上的Haddouche攻击页面时会发生什么。正如您所看到的，一旦我访问该页面，iOS SpringBoard就会迅速崩溃并重新启动。

不幸的是，目前还没有办法减轻这种类型的攻击。Haddouche告诉BleepingComputer，除了“不点击随机链接外，Apple将不得不部署修复程序”。

对于那些想要查看导致此攻击的CSS和HTML的人，研究人员已将其发布在他的GitHub页面上。点击rawgit.com链接时要小心，因为它会迅速崩溃iOS或导致Mac出现问题。