É 2018, e apenas algumas linhas de código podem travar e reiniciar qualquer iPhone ou iPad e podem congelar um computador Mac.
Sabri Haddouche , pesquisador de segurança do aplicativo de mensagens instantâneas Wire, revelou uma página da web de prova de conceito (PoC) contendo uma exploração que usa apenas algumas linhas de código CSS e HTML especialmente criado.
Além de um simples travamento, a página da Web, se visitada, causa um pânico completo no kernel do dispositivo e uma reinicialização completa do sistema.
O PoC da Haddouche explora uma fraqueza no mecanismo de renderização web da Apple, o WebKit , que é usado por todos os aplicativos e navegadores rodando no sistema operacional da Apple.
Como o problema do Webkit não carregou corretamente vários elementos, como tags "div" dentro de uma propriedade de filtro de pano de fundo em CSS, Haddouche criou uma página da Web que usa todos os recursos do dispositivo, causando o desligamento e reinicialização do dispositivo devido ao kernel panic .
Você também pode assistir ao vídeo de demonstração publicado pelo pesquisador, que mostra o ataque de colisão do iPhone em ação.
Todos os navegadores da web, incluindo o Microsoft Edge, o Internet Explorer e o Safari no iOS, bem como o Safari e o Mail no macOS, são vulneráveis a esse ataque na Web baseado em CSS, porque todos usam o mecanismo de renderização do WebKit.
Usuários do Windows e Linux não são afetados por esta vulnerabilidade. O Hacker News testou o ataque a diferentes navegadores da web, incluindo Chrome, Safari e Edge (no MacBook Pro e iPhone X) e ainda trabalhou na versão mais recente dos sistemas operacionais MacOS e iOS. Assim, os usuários da Apple são aconselhados a ficarem atentos enquanto visitam qualquer página da web, incluindo o código, ou clicarem nos links enviados pela conta do Facebook ou WhatsApp, ou em um email. Haddouche postou o código-fonte da página web CSS & HTML que causa esse ataque em sua página do GitHub
Haddouche disse que já informou a Apple sobre a vulnerabilidade do Webkit e que a empresa está possivelmente investigando o problema e trabalhando em uma solução para resolvê-lo em uma versão futura.
Usuários do Windows e Linux não são afetados por esta vulnerabilidade. O Hacker News testou o ataque a diferentes navegadores da web, incluindo Chrome, Safari e Edge (no MacBook Pro e iPhone X) e ainda trabalhou na versão mais recente dos sistemas operacionais MacOS e iOS. Assim, os usuários da Apple são aconselhados a ficarem atentos enquanto visitam qualquer página da web, incluindo o código, ou clicarem nos links enviados pela conta do Facebook ou WhatsApp, ou em um email. Haddouche postou o código-fonte da página web CSS & HTML que causa esse ataque em sua página do GitHub
Haddouche disse que já informou a Apple sobre a vulnerabilidade do Webkit e que a empresa está possivelmente investigando o problema e trabalhando em uma solução para resolvê-lo em uma versão futura.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário