IOS12 CSS attack

Un nuovo attacco CSS blocca gli iPhone e gli iPad di Apple

 

Il ricercatore Sabri Haddouche ha mostrato in un tweet come 15 righe di codice CSS possano mettere KO un iPhone o iPad di Apple equipaggiati con il sistema operativo IOS.

La vulnerabilità in questione, che causa il blocco e conseguente riavvio quasi istantaneo del device, è dovuta ad un bug presente in WebKit, il motore di rendering dell’HTML presente in IOS (e anche in MacOS X, infatti lo stesso bug causa il crash del browser Safari se aperto da sistemi desktop, ma non il riavvio dell’intera macchina).

WebKit è utilizzato in ogni applicazione che si trovi a gestire, sui sistemi Apple, del codice HTML o CSS, quindi di fatto ogni applicazione/app è potenzialmente esposta a questo fastidioso effetto se viene “in contatto” con suddetto codice malevolo.

In termini tecnici si tratta di una miriade di tag inseriti in una specifica proprietà CSS – come ad esempio dei tag <div> – che malgestiti dal modulo WebKit, causano l’uso di tutte le risorse della macchina con conseguente kernel panic e riavvio d’emergenza atto a prevenire ulteriori danni al sistema.

La vulnerabilità riguarda sia l’ultima versione stabile di IOS (11.4.1) che la versione in rilascio 12 ed al momento non sono presenti patch correttive, con Apple avvisata del problema lo scorso venerdì e probabilmente impegnata già a studiare le contromisure per risolvere questa falla.

Un aspetto che rende tale vulnerabilità meno grave è dovuto al fatto che essa non permette comunque l’esecuzione di codice arbitrario o di eventuali payload aggiuntivi.

Fonte: TechCrunch

Foto di eleven x su Unsplash
Condividi su:
Torna in alto