Speziell präparierter CSS-Code lässt iPhones und iPads abstürzen

Ein Sicherheitsforscher hat bei der Suche nach Anfälligkeiten in Browsern einen Fehler in der Rendering-Engine WebKit von Safari entdeckt. Er führt unter Umständen dazu, dass Safari abstürzt und einen Neustart von iPhones und iPads auslöst. Ein Nutzer muss lediglich dazu verleitet werden, eine Website zu besuchen, die speziell präparierten CSS-Code enthält.

Laut Sabri Haddouche, Softwareentwickler und Sicherheitsforscher beim Herausgeber der Messaging-App Wire, ist der CSS-Code, den er auf Twitter veröffentlicht hat, nicht sehr kompliziert. Er basiert auf der relativ neuen CSS-Funktion Backdrop-Filter, die die Bereiche hinter einem Element farblich verändern oder unscharf machen soll. Da der Vorgang unter Umständen viele Ressourcen benötigt, wird vermutet, dass der Code die Grafikbibliothek von iOS überlastet wird und damit zum Absturz des Betriebssystems führt.

„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, sagte Haddouche im Gespräch mit ZDNet USA. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“

Betroffen ist allerdings nicht nur Safari unter iOS. Auch die Mac-Version reagiert dem Forscher zufolge auf die von ihm eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“

Werde dem veröffentlichten CSS/HTML-Code jedoch noch JavaScript hinzugefügt, ergebe sich ein DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“

Apple sei über das Problem informiert, ergänzte Haddouche. „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“

Chrome und Opera sind nicht betroffen

Neowin hat bei eigenen Tests festgestellt, dass der Beispielcode auch Microsoft Edge und Internet Explorer 11 Probleme bereitet. Edge habe das Laden der fraglichen Seite jedoch nach einigen Sekunden mit einer Fehlermeldung abgebrochen. Google Chrome lade die Seite indes innerhalb weniger Sekunden ohne jegliche Probleme. Bei einem Test von ZDNet wurde der Code auch von Samsung Internet 7.2 auf einem Nexus 9 mit Lineage OS 14.1 problemlos ausgeführt. Auch Opera benötigte auf einem Intel-Haswell-System mit Windows 10 Version 1803 weniger als eine Sekunde, um die Seite korrekt anzuzeigen. Warum einige Browser über den Beispielcode stolpern und andere nicht, ist noch nicht geklärt.