Ein Sicherheitsforscher hat bei der Suche nach Anfälligkeiten in Browsern einen Fehler in der Rendering-Engine WebKit von Safari entdeckt. Er führt unter Umständen dazu, dass Safari abstürzt und einen Neustart von iPhones und iPads auslöst. Ein Nutzer muss lediglich dazu verleitet werden, eine Website zu besuchen, die speziell präparierten CSS-Code enthält.
„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, sagte Haddouche im Gespräch mit ZDNet USA. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“
Betroffen ist allerdings nicht nur Safari unter iOS. Auch die Mac-Version reagiert dem Forscher zufolge auf die von ihm eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“
Werde dem veröffentlichten CSS/HTML-Code jedoch noch JavaScript hinzugefügt, ergebe sich ein DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“
Apple sei über das Problem informiert, ergänzte Haddouche. „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“
Neowin hat bei eigenen Tests festgestellt, dass der Beispielcode auch Microsoft Edge und Internet Explorer 11 Probleme bereitet. Edge habe das Laden der fraglichen Seite jedoch nach einigen Sekunden mit einer Fehlermeldung abgebrochen. Google Chrome lade die Seite indes innerhalb weniger Sekunden ohne jegliche Probleme. Bei einem Test von ZDNet wurde der Code auch von Samsung Internet 7.2 auf einem Nexus 9 mit Lineage OS 14.1 problemlos ausgeführt. Auch Opera benötigte auf einem Intel-Haswell-System mit Windows 10 Version 1803 weniger als eine Sekunde, um die Seite korrekt anzuzeigen. Warum einige Browser über den Beispielcode stolpern und andere nicht, ist noch nicht geklärt.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.