Ein Sicherheitsforscher hat bei der Suche nach Anfälligkeiten in Browsern einen Fehler in der Rendering-Engine WebKit von Safari entdeckt. Er führt unter Umständen dazu, dass Safari abstürzt und einen Neustart von iPhones und iPads auslöst. Ein Nutzer muss lediglich dazu verleitet werden, eine Website zu besuchen, die speziell präparierten CSS-Code enthält.
„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, sagte Haddouche im Gespräch mit ZDNet USA. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“
Betroffen ist allerdings nicht nur Safari unter iOS. Auch die Mac-Version reagiert dem Forscher zufolge auf die von ihm eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“
Werde dem veröffentlichten CSS/HTML-Code jedoch noch JavaScript hinzugefügt, ergebe sich ein DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“
Apple sei über das Problem informiert, ergänzte Haddouche. „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“
Neowin hat bei eigenen Tests festgestellt, dass der Beispielcode auch Microsoft Edge und Internet Explorer 11 Probleme bereitet. Edge habe das Laden der fraglichen Seite jedoch nach einigen Sekunden mit einer Fehlermeldung abgebrochen. Google Chrome lade die Seite indes innerhalb weniger Sekunden ohne jegliche Probleme. Bei einem Test von ZDNet wurde der Code auch von Samsung Internet 7.2 auf einem Nexus 9 mit Lineage OS 14.1 problemlos ausgeführt. Auch Opera benötigte auf einem Intel-Haswell-System mit Windows 10 Version 1803 weniger als eine Sekunde, um die Seite korrekt anzuzeigen. Warum einige Browser über den Beispielcode stolpern und andere nicht, ist noch nicht geklärt.
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…