SafariでWebサイトを開くだけでmacOSのアプリをフリーズさせ、iPhoneを再起動させる事ができるCSSコードが発見される。

シェアする

スポンサーリンク

 SafariでWebサイトを開くだけでiOSデバイスを再起動させるCSSコードが発見されたそうです。詳細は以下から。

iOS Mobile Safariのアイコン

 クロスプラットフォーム対応のメッセージツールWireでセキュリティ研究者として働いてるSabriさんによると、SafariでWebサイトを開くだけでiPhoneやiPadなどのiOSデバイスを再起動させることができる「Safari Ripper」という脆弱性が発見されたそうです。

Backdrop-filter is a relative new CSS property and works by blurring or color shifting to the area behind an element. This is a heavy processing task, and some software engineers and web developers have speculated that the rendering of this effect takes a toll on iOS’ graphics processing library, eventually leading to a crash of the mobile OS altogether.

Nasty piece of CSS code crashes and restarts iPhones – ZDNet

 この脆弱性はSafari 9でサポートされたCSSエフェクト「Backdrop-filter (WebKit.org)」の処理をdivで繰り返し行うことでiOSデバイスをクラッシュさせるというもので、HTMLとCSSコードだけで再現でき、確認したところリリース前のiOS 12やmacOS 10.14 MojaveのSafari(WebKit)でも再現できました。

 Safari RipperのPoCはGitHubに公開されており、このコードを利用したWebサイトも公開されていますが、iOSデバイスはクラッシュ、スペックにもよりますがMacでもSafariが完全にフリーズし、場合によってはシステムまで巻き込んでフリーズする場合があるので、不審なURLSNSで送られてきた場合は安易にクリックしないことをお勧めします。

スポンサーリンク

追記

 この脆弱性は現地時間2018年09月17日にリリースされた「iOS 12」でも未修正です。

Safari Ripper

コメント

  1. 匿名 より:

    毎回SafariとかiOSはこういうのあるね
    他プラットフォーム(IEとかChrome)のはクラッシュさせるのは全然聞かないが