Атака, основанная на CSS приводит к сбою
Давно такого не было
Исследователь в области безопасности Сабри Хаддуш нашел новый способ, который вызывает у iPhone и iPad перезагрузку. Сабри поделился этой брешью в Twitter. Он создал веб-страницу, которая содержит 15 строк кода CSS. Если пользователь iOS-устройства зайдет на такую страницу, то работа девайса будет приостановлена, что вызовет последующую перезагрузку.
Как сказал специалист, уязвимость находится в движке Webkit. Сотни вложенных элементов вроде тегов <div> внутри свойства backdrop-filter в CSS могут использовать все ресурсы устройства. Это и вызывает сбой в ядре и приводит к экстренной перезагрузке для восстановления работоспособности.
Вот что об этом пишет наш Сабри:
Кстати, данная уязвимость была протестирована на последней актуальной версии iOS — баг сохранился. Кроме того, даже на бета-версии iOS 12 эта уязвимость актуальна. Если вы все же хотите сами убедиться в присутствии этой бреши — вот ссылка на те самые 15 строк злополучного кода.
Судя по всему, Apple уже работает над устранением этого бага, так как Хаддуш сообщил корпорации о найденной проблеме.
