安全研究员 Sabri Haddouche 发现了一种伤害 iPhone 用户的新方法。 他在自己的网站上发布了这些信息 官方网站 у Twitter.
新的 iPhone 漏洞破坏权限 Apple
据 Sabri 本人介绍,新漏洞是用 CSS 编写的,仅包含 15 行代码。 如果用户点击带有恶意代码的链接,将导致智能手机出现故障并随后重启。 该漏洞影响 iPhone、iPad 和 MacBook 设备。
另请阅读: iOS 12 将于 17 月 日发布
“恶意代码利用了 WebKit 渲染引擎中的一个漏洞。 顺便说一句,这个引擎是用来 Apple 在所有应用程序和浏览器中,”Sabri 说。
https://twitter.com/pwnsdx/status/1040944750973595649
exploit的本质是代码生成了大量不必要的元素,比如标签. 生成发生在负责图形效果的 CSS 模板 backdrop-filter 中。 这允许使用设备的全部计算能力并导致操作系统内核崩溃。 这些操作的结果是操作系统以设备重启的形式做出保护性响应。
另请阅读: Samsung 和谷歌正在开发一种名为 RCS 的高级消息服务
“iOS 中的任何 HTML 代码都可能发生变化,”Sabri Haddush 说。 这意味着任何带有恶意代码的网页都会导致上述后果。
在线出版物 TechCrunch 测试了该漏洞利用的功能。 结果证明它适用于 iOS 11.4.1 和 12 版本。
好消息是代码无法在后台运行并窃取用户数据。
萨布里联系 Apple 关于脆弱性。 不过目前还没有厂商官方就此事发表评论。
Dzherelo: TechCrunch的