研究人员设计了一种新的CSS和HTML攻击 导致iPhone重启或冻结Mac

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

来自Wire的安全研究员安全研究员Sabri Haddouche设计了一种新的CSS攻击,导致iPhone重启或冻结Mac。

研究人员设计了一种新的CSS和HTML攻击 导致iPhone重启或冻结Mac

来自Wire 的安全研究员安全研究员 Sabri Haddouche设计了一种新的攻击方法,该方法使Apple设备的资源饱和,并在访问网页时导致崩溃或系统重启。专家们发现当用户访问包含某些CSS和HTML的网页时,iOS重启和macOS会冻结。

根据所使用的iOS版本,该错误可能会触发UI重启,导致内核崩溃并导致设备重启

这种攻击利用了-webkit-backdrop-filter CSS中的弱点,因此,它会影响iOS上利用WebKit的所有浏览器,因为渲染引擎是WebKit。弱点也会影响macOS中的Safari和Mail,但它不会影响Linux和Windows系统。

攻击利用了 - webkit -backdrop-filter CSS属性中的弱点, Haddouche向BleepingComputer解释道。通过使用具有该属性的嵌套div,我们可以快速消耗所有图形资源并崩溃或冻结操作系统。攻击不需要启用Javascript,因此它也适用于Mail。在macOS上,UI冻结。在iOS上,设备重启。

Haddouche成功测试了iOS 12上的攻击并导致设备重启,在iOS 11.4.1上它只导致UI重启。

Haddouche解释说,在macOS上,攻击只会导致Mail和Safari冻结一秒钟然后放慢计算机的速度。

Haddouche还设计了另一种使用HTML,CSS和JavaScript来完全冻结macOS系统的攻击。研究人员告诉Bleeping Computer他没有透露它,因为它在重启后仍然存在,macOS将重新启动Safari与恶意页面,导致系统进入看起来再冻结它。

Bleeping Computer的Lawrence Abrams创建了一个视频,显示当用户访问由Haddouche创建的攻击页面(看到rawgit [。] com)并在Github上发布时会发生什么。劳伦斯使用了运行iOS 11.4.1的iPhone。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: