[新聞] 當心! CSS惡意攻擊只要15行程式碼就可讓你的iOS裝置重新啟動
新聞來源:
iThome
https://www.ithome.com.tw/news/125922
新聞標題:
當心! CSS惡意攻擊只要15行程式碼就可讓你的iOS裝置重新啟動
文/陳曉莉 | 2018-09-17發表
新聞摘要:
新的CSS攻擊只要15行程式碼,就可利用瀏覽器引擎WebKit的弱點,大量消耗裝置的資源
導致核心錯誤,為免造成傷害,iOS系統就會重新啟動裝置,不只iOS裝置受影響,macOS
的Safari瀏覽器也會被凍結。
示意圖,與新聞事件無關。
https://i.imgur.com/5kaeRI4.jpg
新聞內容:
安全研究人員Sabri Haddouche上周六(9/15)藉由Twitter公布了一段針對iOS裝置的攻
擊程式,當iPhone或iPad造訪含有該程式碼的網頁時,就會造成核心錯誤(Kernel Panic
),導致系統重新啟動裝置。
Haddouche已將此一只有15行的攻擊程式碼張貼在GitHub上,該程式利用了瀏覽器引擎
WebKit的弱點,藉由在CSS的背景過濾器中嵌入大量的<div> 標籤,消耗了裝置的所有資
源,而造成核心錯誤,遭遇核心錯誤的系統通常會重新啟動以避免造成傷害。
WebKit為蘋果Safari瀏覽器所使用的引擎,因此不只是iOS裝置受到波及,該程式碼也會
讓macOS上的Safari瀏覽器凍結。
Haddouche向Tech Crunch透露,在iOS上任何可描繪HTML的服務都會受到影響,代表不管
使用者收到的是臉書、Twitter或電子郵件中的連結,還是造訪一個含有該程式碼的網頁
,都會發生iOS裝置重新啟動的狀況。
藉由15行程式碼就攻陷iOS裝置還不是Haddouche最得意的作品,他在一周前曾經只用一行
JavaScript就讓Chrome瀏覽器與Chrome OS凍結。
新聞心得:
EverythingApplePro 有對此進行實際操作的介紹
https://youtu.be/1VzG_ot7o4E
好消息是這個不太致命,純粹是會讓打開網頁的 iOS 裝置重開機而已,
同時接收該連結的 APP 也不會"超☆瘋狂閃退" XD
受影響範圍從 iOS 7 一路到 iOS 12 Gold Master,
iOS 6 以前因不支持這種 CSS 形式因此逃過一截(?)
估計蘋果應該會在後續推出 iOS 12.x 更新包來修正這個問題,
不過這又會為明後天 iOS 12 正式釋出時的版本與目前的 GM 不同添加了一些變數,
雖然我覺得在不測試就直接丟出兩天內生出的 Patched 版本給所有人用,
恩.....機率很低啦!(畢竟主打穩定性還搞砸了就蠻糗的 OuO)
以上。
--
推
12/04 23:42,
12/04 23:42
→
12/04 23:44,
12/04 23:44
推
12/04 23:46,
12/04 23:46
→
12/04 23:48,
12/04 23:48
推
12/05 00:47,
12/05 00:47
推
12/05 01:17,
12/05 01:17
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.105.219
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1537193198.A.B1C.html
→
09/17 22:18,
7年前
, 1F
09/17 22:18, 1F
→
09/17 22:20,
7年前
, 2F
09/17 22:20, 2F
→
09/17 22:24,
7年前
, 3F
09/17 22:24, 3F
推
09/17 22:27,
7年前
, 4F
09/17 22:27, 4F
→
09/17 22:28,
7年前
, 5F
09/17 22:28, 5F
推
09/17 22:41,
7年前
, 6F
09/17 22:41, 6F
推
09/17 23:12,
7年前
, 7F
09/17 23:12, 7F
推
09/17 23:16,
7年前
, 8F
09/17 23:16, 8F
推
09/18 00:19,
7年前
, 9F
09/18 00:19, 9F
→
09/18 00:22,
7年前
, 10F
09/18 00:22, 10F
推
09/18 00:38,
7年前
, 11F
09/18 00:38, 11F
推
09/18 01:43,
7年前
, 12F
09/18 01:43, 12F
推
09/18 02:17,
7年前
, 13F
09/18 02:17, 13F
→
09/18 10:12,
7年前
, 14F
09/18 10:12, 14F