Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Набор CSS-тегов перегружает графический движок браузеров в iOS и macOS и вызывает критическую ошибку ОС.
Специалист компании Wire Сабри Аддуш (Sabri Haddouche) обнаружил атаку на браузеры на устройствах компании Apple, способную привести к перезагрузке iPhone и зависанию компьютеров с macOS. Некорректная работа графического движка WebKit, который обеспечивает рендеринг интернет-страниц, резко увеличивает потребляемые ресурсы и приводит к критической ошибке операционных систем.
Проблема связана с обработкой CSS-фильтров класса backdrop-filter. Они позволяют веб-дизайнерам без дополнительных графических инструментов работать с фоновой картинкой на сайте — размывать, менять настройки яркости и контраста, накладывать дополнительные цвета.
Эксперт определил набор несовместимых тегов, которые перегружают WebKit при попытке открыть веб-страницу. На мобильных устройствах посещение сайта, в оформлении которого применялись эти фильтры, в зависимости от версии операционной системы либо перезапустит интерфейс устройства, либо вызовет критическую ошибку ядра (Kernel panic) с последующей перезагрузкой всей системы.
Атаку можно провести и при помощи ссылки в электронном письме — современные почтовые клиенты, включая Mail от Apple, поддерживают HTML-рендеринг. Попытка открыть вредоносное сообщение также спровоцирует ошибку.
Уязвимости подвержены все приложения, которые позволяют просматривать сайты с iOS-устройств. Причиной тому стало ограничение Apple на использование интернет-движков — разработчики обязаны обращаться к WebKit для отображения веб-страниц.
Проблема актуальна и для компьютеров на базе macOS, хотя настольные устройства не уходят в перезагрузку. Вместо этого система зависает приблизительно на одну минуту, после чего пользователь может просто закрыть зловредную вкладку.
Если этого не сделать, то баг может сохраниться и после перезагрузки: многие пользователи настраивают браузеры так, чтобы отображать при включении актуальный набор вкладок. На данный момент Аддуш не планирует публиковать технические подробности бреши, чтобы не провоцировать волну атак.
Автор отчета сообщил о проблеме представителям Apple, однако на момент публикации компания еще не опубликовала официальную позицию по этому вопросу. Запрос журналистов Threatpost.com также пока остается без ответа.
Ранее сообщалось об уязвимости браузеров Safari и Edge, которая позволяет подменять сайт при его загрузке. Метод можно использовать для создания вредоносных клонов интернет-страниц, которые будут красть пользовательские данные и распространять опасное ПО.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |