小心!此新Web漏洞可能会使系统崩溃并重新启动您的iPhone

2018年,只需几行代码即可崩溃并重启任何iPhone或iPad,并可能导致Mac计算机冻结。加密即时消息应用程序Wire的安全研究员

Sabri Haddouche透露了一个概念验证(PoC)网页,其中包含仅使用几行特制CSS和HTML代码的漏洞。除了简单的崩溃之外,如果访问该网页,会导致完整的设备内核崩溃并导致整个系统重启。

Haddouche的PoC利用Apple的Web渲染引擎WebKit的弱点,WebKit被Apple操作系统上运行的所有应用程序和Web浏览器使用。

由于Webkit问题无法在CSS中的背景过滤器属性中正确加载多个元素(如“div”标记),因此Haddouche创建了一个耗尽所有设备资源的网页,导致因内核崩溃导致设备关闭和重启。

您还可以观看研究人员发布的视频演示,其中显示了iPhone崩溃攻击的实际效果。

所有Web浏览器,包括iOS上的Microsoft Edge,Internet Explorer和Safari,以及macOS中的Safari和Mail,都容易受到这种基于CSS的Web攻击,因为它们都使用WebKit渲染引擎。Windows和Linux用户不受此漏洞的影响。

黑客新闻测试了针对不同网络浏览器的攻击,包括Chrome,Safari和Edge(在MacBook Pro和iPhone X上),它仍然适用于macOS和iOS操作系统的最新版本。

因此,建议Apple用户在访问任何网页时保持警惕,包括代码或点击通过Facebook或WhatsApp帐户或电子邮件发送的链接。

Haddouche发布了CSS和HTML网页的源代码,导致他的GitHub页面遭受此攻击

Haddouche表示他已经向Apple报告了有关Webkit漏洞的问题,该公司可能正在调查此问题,并正在努力修复以在未来的版本中解决它。

  • 发表于:
  • 原文链接https://thehackernews.com/2018/09/iphone-crash-exploit.html
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券