Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в WebKit заставляет виснуть и перезагружаться любой iPhone и iPad

Уязвимость в WebKit заставляет виснуть и перезагружаться любой iPhone и iPad

Уязвимость в WebKit заставляет виснуть и перезагружаться любой iPhone и iPad


17.09.2018



В движке WebKit, используемом для отображения интернет-страниц, обнаружена уязвимость, с помощью которой возможно заставить любой iPhone и iPad зависнуть и перезагрузиться. На компьютерах Мас проблема проявляется только в случае, если выполнять код в браузере Safari.

 Ошибка, из-за которой виснут и перезагружаются устройства, содержится в CSS-коде. Уязвимость может быть проэксплуатирована путем загрузки HTML-страницы со специально сформированным CSS-кодом. Как пояснил исследователь в области кибербезопасности Сабри Хаддуш (Sabri Haddouche), описавший проблему, атака эксплуатирует уязвимость в свойстве backdrop-filter CSS (позволяет применять фильтры к фону элемента).

 "Используя встроенные элементы div с этим свойством, мы можем быстро израсходовать все графические ресурсы и вызвать зависание или перезагрузку операционной системы. Атака не требует использования Javascript, потому может применяться в приложении "Почта". На Мас интерфейс зависнет, в случае с iOS - устройство перезагрузится", - рассказал специалист.

 Атака затрагивает все браузеры в iOS, а также Safari и "Почту" в macOS, поскольку все они используют движок WebKit. Согласно правилам App Store, разработчики не могут использовать другие движки, поэтому не исключено, что проблема значительно масштабнее.

 Хаддуш опубликовал видео с демонстрацией атаки, а также соответствующий PoC-код.

 Исследователь проинформировал Apple об уязвимости, в настоящее время компания изучает проблему.

 

Securitylab