Исследователь обнаружил уязвимость, из-за которой любая модель iPhone и iPad при попытке обработать несколько строк CSS-кода начинает зависать и перезагружаться.

Sabri Haddouche указал источник ошибки, из-за которой виснут и перезагружаются «яблочные» девайсы: проблема находится в CSS коде. Ошибка из-за 15 строк убийственного кода сайта проявляется в любом браузере по причине работы всех этих iOS-приложений на технологии WebKit. Именно этот движок позволяет отображать веб-страницы и рендерить конкретно HTML и CSS.

Ссылка на сайт-убийцу следующая. Владельцам устройств Apple не стоит переходить по ней, так как есть риск, что девайс просто зависнет:

https://cdn.rawgit.com/pwnsdx/ce64de2760996a6c432f06d612e33aea/raw/23f2faa0aadb4babbfd228c8bb32a26a8c51c741/safari-ripper.html

Автор находки также поделился исходным кодом уязвимости. Sabri пояснил, что вложенная тонна, например, блочных элементов <div>, внутри свойства фильтра фона в CSS — могут вызывать панику ядра, которое отключается и перезагружает операционную систему для предотвращения критических последствий:

Отмечается, что ошибка также наблюдается и на компьютерах Mac: она проявляется только в том случае, если CSS код выполняется в браузере Safari. Компьютер просто подвиснет и потребуется перезагрузка или закрытие вкладки браузера. Как стало известно, компания Apple уже знает о проблеме и работает над её устранением. Sabri утверждает, что такая уязвимость не может использоваться злоумышленниками — кража личных данных пользователя или загрузка вредоносного ПО в таком случае являются невозможными.

Реакция iPhone и iPad на обработку CSS кода сайта Rawgit

Уязвимость присутствует и в iOS 11.4.1, и в бета-версии iOS 12:

Реакция Apple Watch

Зависают и Apple Watch: сначала умные часы начинают подлагивать, а после восстанавливаются в режим спокойной плавной работы и внезапно перезагружаются:

Напомним, в конце лета текущего года была обнаружена уязвимость в онлайн-магазине Apple. Злоумышленники методом бесконечного подбора могли украсть PIN-коды 77 миллионов абонентов T-Mobile. Представители оператора были уверены, что злоумышленники могли успеть воспользоваться проблемой безопасности сайта, поэтому порекомендовали своим абонентам изменить PIN-код во избежание возможных проблем в дальнейшем.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!