小心!此新Web漏洞可能会使您的iPhone崩溃或重新启动

Sabri Haddouche透露了一个概念验证(PoC)网页,其中包含仅使用几行特制CSS和HTML代码的漏洞。

除了简单的崩溃之外,如果访问该网页,会导致完整的设备内核崩溃并导致整个系统重启。

Haddouche的PoC利用Apple的Web渲染引擎WebKit的弱点,WebKit被Apple操作系统上运行的所有应用程序和Web浏览器使用。

由于Webkit问题无法在CSS中的背景过滤器属性中正确加载多个元素(如“div”标记),因此Haddouche创建了一个耗尽所有设备资源的网页,导致因内核崩溃导致设备关闭和重启。

您还可以观看研究人员发布的视频演示,其中显示了iPhone崩溃攻击的实际效果。

所有Web浏览器,包括iOS上的Microsoft Edge,Internet Explorer和Safari,以及macOS中的Safari和Mail,都容易受到这种基于CSS的Web攻击,因为它们都使用WebKit渲染引擎。

Windows和Linux用户不受此漏洞的影响。

黑客新闻测试了针对不同网络浏览器的攻击,包括Chrome,Safari和Edge(在MacBook Pro和iPhoneX上),它仍然适用于macOS和iOS操作系统的最新版本。

因此,建议Apple用户在访问任何网页时保持警惕,包括代码或点击通过Facebook或WhatsApp帐户或电子邮件发送的链接。

Haddouche发布了CSS和HTML网页的源代码,为了不被恶意利用,不表在文中,如果您有兴趣研究,可以公众号后台联系作者!

发现此攻击Haddouche表示他已经向Apple报告了有关Webkit漏洞的问题,该公司可能正在调查此问题并正在努力解决这个问题,在将来的版本中会得到处理。

本文仅作技术分享 切勿用于非法途径

如果您对文中的软件或者技术感兴趣

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181121A1IHFX00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券