当心! CSS恶意攻击只要15行程式码就可让你的iOS装置重新启动
新的CSS攻击只要15行程式码,就可利用浏览器引擎WebKit的弱点,
大量消耗装置的资源导致核心错误,为免造成伤害,iOS系统就会
重新启动装置,不只iOS装置受影响,macOS的Safari浏览器也会被
冻结。
安全研究人员Sabri Haddouche上周六(9/15)借由Twitter公布了
一段针对iOS装置的攻击程式,当iPhone或iPad造访含有该程式码的
网页时,就会造成核心错误(Kernel Panic),导致系统重新启动
装置。
Haddouche已将此一只有15行的攻击程式码张贴在GitHub上,该程式
利用了浏览器引擎WebKit的弱点,借由在CSS的背景过滤器中嵌入
大量的<div> 标签,消耗了装置的所有资源,而造成核心错误,遭遇
核心错误的系统通常会重新启动以避免造成伤害。
WebKit为苹果Safari浏览器所使用的引擎,因此不只是iOS装置受到
波及,该程式码也会让macOS上的Safari浏览器冻结。
Haddouche向Tech Crunch透露,在iOS上任何可描绘HTML的服务都会
受到影响,代表不管使用者收到的是脸书、Twitter或电子邮件中的
连结,还是造访一个含有该程式码的网页,都会发生iOS装置重新
启动的状况。
借由15行程式码就攻陷iOS装置还不是Haddouche最得意的作品,他在
一周前曾经只用一行JavaScript就让Chrome浏览器与Chrome OS冻结。
https://www.ithome.com.tw/news/125922