Sabri Haddouche透露了一個概念驗證(PoC)網頁,其中包含僅使用幾行特製CSS和HTML程式碼的漏洞。
除了簡單的崩潰之外,如果訪問該網頁,會導致完整的裝置核心崩潰並導致整個系統重啟。
Haddouche的PoC利用Apple的Web渲染引擎WebKit的弱點,WebKit被Apple作業系統上執行的所有應用程式和Web瀏覽器使用。
由於Webkit問題無法在CSS中的背景過濾器屬性中正確載入多個元素(如“div”標記),因此Haddouche建立了一個耗盡所有裝置資源的網頁,導致因核心崩潰導致裝置關閉和重啟。
您還可以觀看研究人員釋出的影片演示,其中顯示了iPhone崩潰攻擊的實際效果。
所有Web瀏覽器,包括iOS上的Microsoft Edge,Internet Explorer和Safari,以及macOS中的Safari和Mail,都容易受到這種基於CSS的Web攻擊,因為它們都使用WebKit渲染引擎。
Windows和Linux使用者不受此漏洞的影響。
駭客新聞測試了針對不同網路瀏覽器的攻擊,包括Chrome,Safari和Edge(在MacBook Pro和iPhoneX上),它仍然適用於macOS和iOS作業系統的最新版本。
因此,建議Apple使用者在訪問任何網頁時保持警惕,包括程式碼或點選透過Facebook或WhatsApp帳戶或電子郵件傳送的連結。
Haddouche釋出了CSS和HTML網頁的原始碼,為了不被惡意利用,不表在文中,如果您有興趣研究,可以公眾號後臺聯絡作者!
發現此攻擊Haddouche表示他已經向Apple報告了有關Webkit漏洞的問題,該公司可能正在調查此問題並正在努力解決這個問題,在將來的版本中會得到處理。
本文僅作技術分享 切勿用於非法途徑
如果您對文中的軟體或者技術感興趣
