当心! CSS恶意攻击只要15行程式码就可让你的iOS装置重新启动 新的CSS攻击只要15行程式码，就可利用浏览器引擎WebKit的弱点， 大量消耗装置的资源导致核心错误，为免造成伤害，iOS系统就会 重新启动装置，不只iOS装置受影响，macOS的Safari浏览器也会被 冻结。 安全研究人员Sabri Haddouche上周六（9/15）藉由Twitter公布了 一段针对iOS装置的攻击程式，当iPhone或iPad造访含有该程式码的 网页时，就会造成核心错误（Kernel Panic），导致系统重新启动 装置。 Haddouche已将此一只有15行的攻击程式码张贴在GitHub上，该程式 利用了浏览器引擎WebKit的弱点，藉由在CSS的背景过滤器中嵌入 大量的<div> 标签，消耗了装置的所有资源，而造成核心错误，遭遇 核心错误的系统通常会重新启动以避免造成伤害。 WebKit为苹果Safari浏览器所使用的引擎，因此不只是iOS装置受到 波及，该程式码也会让macOS上的Safari浏览器冻结。 Haddouche向Tech Crunch透露，在iOS上任何可描绘HTML的服务都会 受到影响，代表不管使用者收到的是脸书、Twitter或电子邮件中的 连结，还是造访一个含有该程式码的网页，都会发生iOS装置重新 启动的状况。 藉由15行程式码就攻陷iOS装置还不是Haddouche最得意的作品，他在 一周前曾经只用一行JavaScript就让Chrome浏览器与Chrome OS冻结。 https://www.ithome.com.tw/news/125922 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.194.140.105 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1537506391.A.D79.html