WEBKIT

Enkel CSS-egenskap får Apple-enheter til å stoppe eller krasje

Går tom for grafikkressurser.

Apple iPhone er blant enheten som kan stoppes eller startes på nytt ved bare å lokke brukere til å åpne en webside med en spesiell, men enkel kombinasjon av CSS og HTML.
Apple iPhone er blant enheten som kan stoppes eller startes på nytt ved bare å lokke brukere til å åpne en webside med en spesiell, men enkel kombinasjon av CSS og HTML. Foto: Vidar Ruud / NTB scanpix
Harald BrombachHarald BrombachNyhetsleder
17. sep. 2018 - 13:34

Sikkerhetsforskeren Sabri Haddouche har offentliggjort CSS- og HTML-kode som får WebKit-basert programvare på iOS og MacOS til å gjøre en umiddelbar omstart eller henge. 

Koden inkluderer den eksperimentelle CSS-verdien -webkit-backdrop-filter og en flere tusen nøstede div-elementer som alle har denne CSS-verdien. 

 

Også per epost

Til Bleeping Computer sier Haddouche at koden raskt fører til at alle grafikkressursene til den berørte enheter blir brukt opp. Fordi angrepet ikke krever JavaScript, vil det også fungere i WebKit-baserte epostklienter, slik som Mail-appen. 

I iOS er alle nettlesere berørt, siden også nettlesere fra alle andre leverandører enn Apple er nødt til å være basert på den innebygde WebKit-motoren i iOS. I dette operativsystemet fører angrepet enten til en «kernel panic» som før enheten til å starte på nytt, eller en «respring», altså en omstart av SpringBoard-brukergrensesnittet. En video av angrepet kan sees her.

Med den koden Haddouche har offentliggjort, vil angrepet bare få programvare som Mail og Safari til å henge i et sekund, før Mac-en blir merkbart tregere. Men den krasjer ikke og angrepet kan stoppes ved å lukke den aktuelle fanen.

Full stopp

Men Haddouche forteller til Bleeping Computer at han har utviklet en variant av angrepskoden, som også inkluderer noe JavaScript. Den vil få MacOS til å henge fullstendig. 

Interessant nok vil det ikke hjelpe med en omstart, da dette bare fører til at den samme siden lastes på nytt og at og Mac-en på nytt stopper opp. 

Mye tyder også på at også WatchOS er berørt.

Andre nettlesere

Det er ikke bare WebKit som støtter -webkit-backdrop-filter. Det gjør også Microsofts Edge-nettleser. Den greier ikke å vise siden som Haddouche har publisert, men verken krasjer eller henger. I stedet vises en feilmelding.

Demosiden får derimot enkelte utgaver av Internet Explorer til å krasje. Denne gamle nettleseren støtter ikke den aktuelle CSS-regelen, men Haddouche antar at nøstingen av div-elementene som blir for mye for IE å håndtere.

Chrome har innebygd støtte for backdrop-filter-egenskapen, men den er foreløpig deaktivert som standard og -webkit-prefiksen støttes uansett ikke.

Men det er ikke stort mer enn en uke siden Haddouche publiserte kode som får Chrome til å stoppe helt opp.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Les også: Vil droppe støtten for CSS-prefikser i WebKit

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra