Weboldalaktól borulnak meg az iPhone-ok

Egy viszonylag egyszerű módszerrel olyan weblapok készíthetők, amelyek megtekintésekor az iPhone és iPad készülékek újraindulnak, a Mac-gépek pedig lefagynak.
 
hirdetés

Sabri Haddouche, a Wire biztonsági kutatója egy érdekes felfedezést tett az Apple iOS és macOS operációs rendszerek vizsgálata során. Arra jött rá, hogy egy viszonylag egyszerű kód segítségével igencsak bosszantó jelenségeket lehet előidézni az almás cég mobil készülékein, illetve számítógépein. A feltárt hiba alapvetően nem alkalmas komolyabb károkozásra, de sok kellemetlenséggel járhat a felhasználók számára.
 
A biztonsági kutató szerint egy támadás végrehajtása során nincs másra szükség, mint rávenni a felhasználót arra, hogy töltsön le egy teljesen ártalmatlannak látszó weboldalt. Amikor ezt a webböngésző megjeleníti, akkor pár másodpercen belül bekövetkezik a rendszerek összeomlása. A támadónak nem kell különösebben bonyolult kódokat beépítenie a weboldalába, szimpla HTML és CSS-kódokkal kivitelezhető a támadás.
 
A vizsgálatok szerint a biztonsági hibát a webkit-backdrop-filter nevű CSS tulajdonság nem megfelelő kezelése okozza a WebKit motorban. Így nemcsak a Safari, hanem a WebKitre épülő összes webböngésző, sőt még a Mail alkalmazás is sebezhető. (Windows és Linux alatt a probléma nem jelentkezik.)
 
A kutató tájékoztatása szerint a sérülékenység iOS 11.4.1 alatt a felhasználói felületet vezérlő összetevők újraindulását eredményezi, míg iOS 12 alatt az egész operációs rendszer újraindul. A macOS alapú számítógépek esetében a Safari vagy a Mail program válik válaszképtelenné, majd lelassul a számítógép.

 
A szakember kitért arra, hogy sikerült egy olyan oldalt is kialakítania, amely a macOS teljes összeomlását eredményezi, igaz ehhez néhány JavaScriptre is szükség van. A legkellemetlenebb, hogy egy ilyen összeomlás után a macOS automatikusan helyreállítja a korábbi munkamenetet, azaz betölti a Safarit és a támadó weboldalát, ami ismét összeomláshoz vezet.
 
Haddouche egyelőre nem tudott igazán hathatós tanácsot adni e támadások megelőzéséhez, mivel szerinte most az Apple fejlesztőinek kell cselekedniük, és orvosolni a rendellenességet. Addig is - mint ahogy minden más esetben - érdemes kerülni a gyanús linkekre történő kattintásokat.
Vélemények
 
  1. 3

    A Jenkins fontos biztonsági frissítéseket kapott.

  2. 3

    A HAProxy két biztonsági rés kapcsán szorul frissítésre.

  3. 2

    A Trickbot trójai egy meglehetősen komplex felépítésű kémprogram, amely többféle módon képes értékes adatokhoz juttatni a terjesztőit.

 
Partnerhírek
Trendek a vállalati biztonságban

A felhasználók negyede soha egyetlen munkahelyén sem kapott biztonságtudatossági képzést.

Oktatással a zsarolóvírusok ellen

A legtöbb biztonsági incidensnek kevesebb fájó következménye lenne, ha a vállalat minden munkatársa tudná, hogy mit kell tennie vészhelyzet esetén.

hirdetés
Közösség
1