15行CSS&HTML代碼就能讓iPhone重啟和Mac假死
新聞
09-25
嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。
前言
來自Wire團隊的的安全研究員Sabri Haddouche設計了一種全新的CSS攻擊方式,可導致iPhone重啟或Mac假死。
該攻擊方式來源於一些偶然的發現,研究人員發現用戶訪問包含某些CSS和HTML代碼的網頁時,iOS會重啟,而macOS則會假死。在提煉出關鍵部分後研究人員設計了可100%復現的攻擊演示代碼,當設備打開該網頁後瞬間佔滿設備的資源使用,從而導致內核崩潰和系統重啟。
訪問GitHub獲取代碼並參與討論。
利用了-webkit-backdrop-filter CSS中的弱點,只要在CSS的Backdrop-filter里嵌入大量元素,比如<div>標籤,就可以耗盡設備的圖形資源導致系統內核崩潰。因為無需啟用JavaScript,macOS中的Safari和Mail也不能倖免,Linux和Windows則不受影響。
研究人員測試了iOS 12和iOS 11.4.1,前者直接崩潰重啟,後者的話是UI重啟。在Mac系統上,攻擊會導致Mail和Safari瀏覽器瞬間卡住,然後系統假死。
蘋果還未推出相關補丁,好在這種攻擊方式只能導致設備重啟,不會泄露用戶數據和損壞設備,
*參考來源:securityaffairs,Freddy編譯整理,轉載請註明來自FreeBuf.COM。
※「退改簽」詐騙背後,到底誰為黑產大開方便之門?
※分析一個用於傳播Hancitor惡意軟體的Word文檔(第一部分)
TAG:FreeBuf |