作者Kenqr (function(){})()
看板Browsers
标题[新闻] CSS恶意攻击可让iOS装置重新启动
时间Fri Sep 21 13:06:27 2018
当心! CSS恶意攻击只要15行程式码就可让你的iOS装置重新启动
新的CSS攻击只要15行程式码,就可利用浏览器引擎WebKit的弱点,
大量消耗装置的资源导致核心错误,为免造成伤害,iOS系统就会
重新启动装置,不只iOS装置受影响,macOS的Safari浏览器也会被
冻结。
安全研究人员Sabri Haddouche上周六(9/15)藉由Twitter公布了
一段针对iOS装置的攻击程式,当iPhone或iPad造访含有该程式码的
网页时,就会造成核心错误(Kernel Panic),导致系统重新启动
装置。
Haddouche已将此一只有15行的攻击程式码张贴在GitHub上,该程式
利用了浏览器引擎WebKit的弱点,藉由在CSS的背景过滤器中嵌入
大量的<div> 标签,消耗了装置的所有资源,而造成核心错误,遭遇
核心错误的系统通常会重新启动以避免造成伤害。
WebKit为苹果Safari浏览器所使用的引擎,因此不只是iOS装置受到
波及,该程式码也会让macOS上的Safari浏览器冻结。
Haddouche向Tech Crunch透露,在iOS上任何可描绘HTML的服务都会
受到影响,代表不管使用者收到的是脸书、Twitter或电子邮件中的
连结,还是造访一个含有该程式码的网页,都会发生iOS装置重新
启动的状况。
藉由15行程式码就攻陷iOS装置还不是Haddouche最得意的作品,他在
一周前曾经只用一行JavaScript就让Chrome浏览器与Chrome OS冻结。
https://www.ithome.com.tw/news/125922
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.194.140.105
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1537506391.A.D79.html
1F:推 shasen1235: 过两周果粉就会忘记这回事继续讲iOS最安全 09/21 19:33
2F:推 maple3142: 前几天才看到safari有bug会在重整後保留js的array资料 09/21 21:49