當心! CSS惡意攻擊只要15行程式碼就可讓你的iOS裝置重新啟動
新的CSS攻擊只要15行程式碼,就可利用瀏覽器引擎WebKit的弱點,
大量消耗裝置的資源導致核心錯誤,為免造成傷害,iOS系統就會
重新啟動裝置,不只iOS裝置受影響,macOS的Safari瀏覽器也會被
凍結。
安全研究人員Sabri Haddouche上周六(9/15)藉由Twitter公布了
一段針對iOS裝置的攻擊程式,當iPhone或iPad造訪含有該程式碼的
網頁時,就會造成核心錯誤(Kernel Panic),導致系統重新啟動
裝置。
Haddouche已將此一只有15行的攻擊程式碼張貼在GitHub上,該程式
利用了瀏覽器引擎WebKit的弱點,藉由在CSS的背景過濾器中嵌入
大量的<div> 標籤,消耗了裝置的所有資源,而造成核心錯誤,遭遇
核心錯誤的系統通常會重新啟動以避免造成傷害。
WebKit為蘋果Safari瀏覽器所使用的引擎,因此不只是iOS裝置受到
波及,該程式碼也會讓macOS上的Safari瀏覽器凍結。
Haddouche向Tech Crunch透露,在iOS上任何可描繪HTML的服務都會
受到影響,代表不管使用者收到的是臉書、Twitter或電子郵件中的
連結,還是造訪一個含有該程式碼的網頁,都會發生iOS裝置重新
啟動的狀況。
藉由15行程式碼就攻陷iOS裝置還不是Haddouche最得意的作品,他在
一周前曾經只用一行JavaScript就讓Chrome瀏覽器與Chrome OS凍結。
https://www.ithome.com.tw/news/125922