安全研究員 Sabri Haddouche 發現了一種傷害 iPhone 用戶的新方法。 他在自己的網站上發布了這些信息 官方網站 у Twitter.
新的 iPhone 漏洞破壞了權威 Apple
據 Sabri 本人介紹,新漏洞是用 CSS 編寫的,僅包含 15 行代碼。 如果用戶點擊帶有惡意代碼的鏈接,將導致智能手機出現故障並隨後重新啟動。 該漏洞影響 iPhone、iPad 和 MacBook 設備。
另請閱讀: iOS 12 將於 17 月 日發布
“惡意代碼利用了 WebKit 渲染引擎中的漏洞。 順便說一下,這個引擎是用的 Apple 在所有應用程序和瀏覽器中,”Sabri 說。
https://twitter.com/pwnsdx/status/1040944750973595649
該漏洞利用的本質是代碼生成了大量不必要的元素,例如標籤. 生成發生在負責圖形效果的 CSS 模板背景過濾器中。 這允許使用設備的全部計算能力並導致操作系統內核崩潰。 這些操作的結果是以設備重啟的形式對操作系統進行保護性響應。
另請閱讀: Samsung 谷歌正在開發一種名為 RCS 的高級消息服務
“iOS 中的任何 HTML 代碼都可能發生變化,”Sabri Haddush 說。 這意味著任何帶有惡意代碼的網頁都會導致上面列出的後果。
在線出版物 TechCrunch 測試了該漏洞的功能。 結果證明它可以在 iOS 11.4.1 和 12 版本上運行。
好消息是代碼無法在後台運行並竊取用戶數據。
薩布里聯繫了 Apple 關於脆弱性。 但是,製造商尚未就此事發表官方評論。
資源: TechCrunch的