15 Zeilen CSS-Code können zum Absturz von Apple-Geräten führen, und das neueste iOS 12 ist nicht immun

Nur 15 Zeilen CSS und Ihr iPhone stürzt ab

Der Sicherheitsforscher Sabri Haddouche von Wire hat einen neuen Angriff entdeckt, der durch den bloßen Besuch einer Webseite mit bestimmten CSS- und HTML-Codes einen Neustart von iOS und ein Einfrieren von macOS verursachen kann. Windows- und Linux-Benutzer sind von diesem Fehler nicht betroffen.

Der Angriff nutzt eine Schwachstelle in der CSS-Eigenschaft „-webkit-backdrop-filter“. Durch die Verwendung verschachtelter Divs mit dieser Eigenschaft können schnell alle grafischen Ressourcen verbraucht und das Betriebssystem zum Absturz gebracht oder eingefroren werden. Für den Angriff ist kein aktiviertes Javascript erforderlich, er funktioniert also auch in Mail. Unter macOS äußert sich dies in einem Einfrieren der Benutzeroberfläche. Unter iOS äußert sich dies in einem Neustart des Geräts. Der Angriff betrifft alle Browser unter iOS sowie Safari und Mail unter macOS, da sie alle die Rendering-Engine WebKit verwenden.

Für diejenigen, die den Code sehen möchten, der zu diesem Angriff geführt hat, haben die Forscher ihn auf ihrer GitHub-Seite veröffentlicht.

Seien Sie vorsichtig, wenn Sie auf Links von rawgit.com klicken, da dies schnell zu einem iOS-Absturz oder zu Problemen auf Ihrem Mac führen kann.

Link zu rawgit.com:

https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/

Code GitHub:

https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

Öffnen Sie diese GitHub-Seite und Sie können den Code wie folgt sehen:

Der rote Teil oben ist ein Base64-codiertes Bild und darunter befinden sich viele <div>-Tags. Wie Haddouche sagte, besteht der Zweck des Angriffs darin, Geräteressourcen zu verbrauchen, indem eine große Anzahl von HTML-Element-Tags in die Filterattribute eingebettet wird.