原文地址:https://www.hackeye.net/threatintelligence/16308.aspx
据外媒BleepingComputer报道,来自Wire 的安全研究员Sabri Haddouche已经找到了一种可攻击iOS 和macOS系统的新方法,能够在很短的时间内耗尽苹果设备的所有图形资源,从而导致设备崩溃或系统重启。
从Sabri Haddouche发布的信息来看,这种新的攻击方法涉及到在网页中嵌入特制的CSS和HTML代码。当苹果设备用户访问这些网页时,iOS系统就可能会出现重启,macOS系统出现卡顿的情况。
Sabri Haddouche表示,根据iOS版本的不同,攻击的结果也会有所不同。例如,他在针对iOS 12进行测试时,攻击最终导致了内核崩溃以及设备重启,而在iOS 11.4.1上,攻击只触发了UI重启。
根据的描述,这种攻击利用了“-webkit-backdrop-filter CSS”属性中的一个漏洞,因此,它会影响到iOS上所有使用WebKit渲染引擎的浏览器和支持HTML的应用程序。另外,这个漏洞也会影响到macOS上的Safari和Mail。
Sabri Haddouche解释说,针对macOS系统实施攻击,会导致Safari和Mail冻结一秒钟,然后Mac就会出现卡顿。不过,只要关闭Safari选项卡,攻击就会中断。
为了说明这种攻击,BleepingComputer的Lawrence Abrams录制并发布了一段视频,用于演示当我们使用运行iOS 11.4.1的iPhone访问由Sabri Haddouche在Github上创建的一个测试页面时会发生些什么。从视频内容来看,一旦访问了该页面,iOS SpringBoard就会迅速崩溃并重新启动。
除此之外,Sabri Haddouche还找到了另一种使用HTML、CSS和JavaScript来完全冻结macOS系统的攻击方法。不过,他目前并没有透露有关该方法的具体信息,因为这个问题即使是在设备重启之后仍然存在。具体来说,macOS在重启之后会自行打开Safari并访问恶意网页,导致系统再次被冻结。
最后给大家带来一个坏消息,尽管Sabri Haddouche已经就他的发现通知了苹果公司,但到目前为止这种攻击还没有对应的破解方法。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
