[情報] iOS CSS 弱點導致 Respring & Restart

看板iOS作者Lyeuiechang (誠誠小屁孩)時間7年前 (2018/09/17 21:21)推噓2(2推 0噓 2→)

留言4則, 4人參與討論串1/1

情報來源： iThome https://www.ithome.com.tw/news/125922 情報標題：當心! CSS惡意攻擊只要15行程式碼就可讓你的iOS裝置重新啟動文/陳曉莉 | 2018-09-17發表情報摘要：新的CSS攻擊只要15行程式碼，就可利用瀏覽器引擎WebKit的弱點，大量消耗裝置的資源導致核心錯誤，為免造成傷害，iOS系統就會重新啟動裝置，不只iOS裝置受影響，macOS 的Safari瀏覽器也會被凍結。示意圖，與新聞事件無關。 https://i.imgur.com/5kaeRI4.jpg

情報內容：安全研究人員Sabri Haddouche上周六（9/15）藉由Twitter公布了一段針對iOS裝置的攻擊程式，當iPhone或iPad造訪含有該程式碼的網頁時，就會造成核心錯誤（Kernel Panic ），導致系統重新啟動裝置。 Haddouche已將此一只有15行的攻擊程式碼張貼在GitHub上，該程式利用了瀏覽器引擎 WebKit的弱點，藉由在CSS的背景過濾器中嵌入大量的<div> 標籤，消耗了裝置的所有資源，而造成核心錯誤，遭遇核心錯誤的系統通常會重新啟動以避免造成傷害。 WebKit為蘋果Safari瀏覽器所使用的引擎，因此不只是iOS裝置受到波及，該程式碼也會讓macOS上的Safari瀏覽器凍結。 Haddouche向Tech Crunch透露，在iOS上任何可描繪HTML的服務都會受到影響，代表不管使用者收到的是臉書、Twitter或電子郵件中的連結，還是造訪一個含有該程式碼的網頁，都會發生iOS裝置重新啟動的狀況。藉由15行程式碼就攻陷iOS裝置還不是Haddouche最得意的作品，他在一周前曾經只用一行 JavaScript就讓Chrome瀏覽器與Chrome OS凍結。情報心得： EverythingApplePro 有對此進行實際操作的介紹 https://youtu.be/1VzG_ot7o4E

好消息是這個不太致命，純粹是會讓打開網頁的 iOS 裝置重開機而已，同時接收該連結的 APP 也不會"超☆瘋狂閃退" XD 受影響範圍從 iOS 7 一路到 iOS 12 Gold Master， iOS 6 以前因不支持這種 CSS 形式因此逃過一截(?) 估計蘋果應該會在後續推出 iOS 12.x 更新包來修正這個問題，不過這又會為明後天 iOS 12 正式釋出時的版本與目前的 GM 不同添加了一些變數，雖然我覺得在不測試就直接丟出兩天內生出的 Patched 版本給所有人用，恩.....機率很低啦！(畢竟主打穩定性還搞砸了就蠻糗的 OuO) 以上。 --

推

Lyeuiechang

12/04 23:42,

12/04 23:42

→

Xhocer

12/04 23:44,

12/04 23:44

推

xj654m3

12/04 23:46,

12/04 23:46

→

Xhocer

12/04 23:48,

12/04 23:48

推

xj654m3

12/05 00:47,

12/05 00:47

推

Lyeuiechang

12/05 01:17,

12/05 01:17

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.105.219 ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1537190469.A.92C.html

推

aswq17558

09/17 21:47, 7年前 , 1^F

09/17 21:47, 1^F

→

abramtw

09/17 21:51, 7年前 , 2^F

09/17 21:51, 2^F

手機關機等更新>_< 推 cc5566cc: 我要Google的顏色 09/17 22:01 → Hiram: 我要奧運五個顏色下面幫填 09/17 22:21 → Hiram: O O O 09/17 22:21 → Hiram: O O 09/17 22:22 推 popoman177: 七彩霓虹燈 09/17 22:30 推 sincsnow: 七彩霓虹燈 09/17 23:05

→

sincsnow

09/17 23:05, 7年前 , 3^F

09/17 23:05, 3^F

這不是來了嗎，我也不是一直在這篇文章阿 = =|||| ※ 編輯: Lyeuiechang (36.227.105.219), 09/17/2018 23:08:07 推 viavia2357: 給我帽子的顏色謝謝== 09/17 23:31 推 haleytll: 我要紅橙黃綠藍靛紫 09/18 00:10

推

joseph761103

09/18 00:46, 7年前 , 4^F

09/18 00:46, 4^F

推 Arbing: 這篇真的七彩繽紛請給我帽子的顏色嗚嗚 09/18 01:41 推 Hiram: 紅橙黃綠藍靛紫 09/18 01:54 ※ 編輯: Lyeuiechang (140.114.74.37), 09/18/2018 14:12:32

‣ 返回看板[ iOS ] 系統

‣ 更多 Lyeuiechang 的文章

文章代碼(AID): #1Rdwf5ai (iOS)