Weboldalaktól borulnak meg az iPhone-ok

Egy viszonylag egyszerű módszerrel olyan weblapok készíthetők, amelyek megtekintésekor az iPhone és iPad készülékek újraindulnak, a Mac-gépek pedig lefagynak.
 

Sabri Haddouche, a Wire biztonsági kutatója egy érdekes felfedezést tett az Apple iOS és macOS operációs rendszerek vizsgálata során. Arra jött rá, hogy egy viszonylag egyszerű kód segítségével igencsak bosszantó jelenségeket lehet előidézni az almás cég mobil készülékein, illetve számítógépein. A feltárt hiba alapvetően nem alkalmas komolyabb károkozásra, de sok kellemetlenséggel járhat a felhasználók számára.
 
A biztonsági kutató szerint egy támadás végrehajtása során nincs másra szükség, mint rávenni a felhasználót arra, hogy töltsön le egy teljesen ártalmatlannak látszó weboldalt. Amikor ezt a webböngésző megjeleníti, akkor pár másodpercen belül bekövetkezik a rendszerek összeomlása. A támadónak nem kell különösebben bonyolult kódokat beépítenie a weboldalába, szimpla HTML és CSS-kódokkal kivitelezhető a támadás.
 
A vizsgálatok szerint a biztonsági hibát a webkit-backdrop-filter nevű CSS tulajdonság nem megfelelő kezelése okozza a WebKit motorban. Így nemcsak a Safari, hanem a WebKitre épülő összes webböngésző, sőt még a Mail alkalmazás is sebezhető. (Windows és Linux alatt a probléma nem jelentkezik.)
 
A kutató tájékoztatása szerint a sérülékenység iOS 11.4.1 alatt a felhasználói felületet vezérlő összetevők újraindulását eredményezi, míg iOS 12 alatt az egész operációs rendszer újraindul. A macOS alapú számítógépek esetében a Safari vagy a Mail program válik válaszképtelenné, majd lelassul a számítógép.

 
A szakember kitért arra, hogy sikerült egy olyan oldalt is kialakítania, amely a macOS teljes összeomlását eredményezi, igaz ehhez néhány JavaScriptre is szükség van. A legkellemetlenebb, hogy egy ilyen összeomlás után a macOS automatikusan helyreállítja a korábbi munkamenetet, azaz betölti a Safarit és a támadó weboldalát, ami ismét összeomláshoz vezet.
 
Haddouche egyelőre nem tudott igazán hathatós tanácsot adni e támadások megelőzéséhez, mivel szerinte most az Apple fejlesztőinek kell cselekedniük, és orvosolni a rendellenességet. Addig is - mint ahogy minden más esetben - érdemes kerülni a gyanús linkekre történő kattintásokat.
Vélemények
 
  1. 4

    A Drupal alapú weboldalak frissítését mihamarabb célszerű elvégezni.

  2. 3

    A McAfee Data Loss Prevention egy közepes veszélyességű biztonsági hibát tartalmaz.

  3. 1

    A Betabot trójai számos kártékony tevékenységbe tud bekapcsolódni. A neve ellenére már egyáltalán nem béta verzióról van szó.

 
Partnerhírek
Okoseszközeink az áramellátást is veszélyeztethetik

A kiberbűnözők internetes hálózatba kapcsolt háztartási készülékeket köthetnek botnetekbe, hogy manipulálhassák az energiahálózatot.

Amikor az ellátási lánc a gyenge pont

Október elején az egész biztonsági világ rácsodálkozott a neves Bloomberg Businessweek tényfeltáró cikkére, mely hardverszintű beépített kémkedésről szólt.

hirdetés
Közösség
1