15行のCSSコードがAppleデバイスをクラッシュさせる可能性があり、最新のiOS 12も例外ではない

たった15行のCSSでiPhoneがクラッシュする

Wire のセキュリティ研究者 Sabri Haddouche 氏は、特定の CSS と HTML を含む Web ページにアクセスするだけで iOS が再起動し、macOS がフリーズする可能性がある新しい攻撃を発見しました。 Windows および Linux ユーザーはこのバグの影響を受けません。

この攻撃は、-webkit-backdrop-filter CSS プロパティの脆弱性を悪用し、そのプロパティを持つネストされた div を使用することで、すべてのグラフィック リソースをすぐに消費し、オペレーティング システムをクラッシュまたはフリーズさせることができます。この攻撃では JavaScript を有効にする必要がないため、メールでも機能します。 macOS では、これは UI のフリーズとして現れます。 iOS では、これはデバイスの再起動として現れます。この攻撃は、WebKit レンダリング エンジンを使用している iOS のすべてのブラウザー、および macOS の Safari と Mail に影響します。

この攻撃につながるコードを見たい人のために、研究者はそれを GitHub ページで公開しています。

rawgit.com のリンクをクリックするときは注意してください。iOS がすぐにクラッシュしたり、Mac に問題が発生したりする可能性があります。

rawgit.com リンク:

https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/

コード GitHub:

https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

この GitHub ページを開くと、次のようなコードが表示されます。

上の赤​​い部分は base64 でエンコードされた画像で、その下には多数の <div> タグがあります。 Haddouche 氏が述べたように、攻撃の目的は、フィルター属性に多数の HTML 要素タグを埋め込むことでデバイスのリソースを消費することです。