只需15行CSS代碼���,就可以讓你的iPhone崩潰
Wire 的安全研究員 Sabri Haddouche 發現了一種新的攻擊��,只需訪問包含某些 CSS 和 HTML 的網頁�����,就會導致 iOS 重新啟動以及 macOS 凍結���。 Windows 和 Linux 用戶不受此錯誤的影響。
攻擊利用 -webkit-backdrop-filter CSS 屬性中的弱點�,通過使用具有該屬性的嵌套 div,可以快速消耗所有圖形資源并崩潰或凍結操作系統��。攻擊不需要啟用 Javascript���,因此它也適用于 Mail。在 macOS 上��,表現為 UI 凍結����。在 iOS 上, 表現為設備重啟���。此攻擊會影響 iOS 上的所有瀏覽器����,以及 macOS 中的 Safari 和 Mail,因為它們都使用 WebKit 渲染引擎�����。
對于那些想要查看導致此攻擊的人��,研究人員已將其發布在 GitHub 頁面上����。
點擊 rawgit.com 鏈接時要小心,因為它會迅速導致 iOS 崩潰或導致 Mac 出現問題���。
rawgit.com鏈接:
https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/
代碼 GitHub :
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea
打開這個 GitHub 頁面��,可以看到代碼如下:
上面紅色部分是一張經過 base64 編碼的圖片�����,下面是很多<div>標簽���。正如 Haddouche 所說,就是利用了在過濾器屬性中嵌入大量 HTML 元素標簽來消耗設備的資源��,從而達到攻擊的目的。
