SafariでWebサイトを開くだけでmacOSのアプリをフリーズさせ、iPhoneを再起動させる事ができるCSSコードが発見される。

　SafariでWebサイトを開くだけでiOSデバイスを再起動させるCSSコードが発見されたそうです。詳細は以下から。

　クロスプラットフォーム対応のメッセージツールWireでセキュリティ研究者として働いてるSabriさんによると、SafariでWebサイトを開くだけでiPhoneやiPadなどのiOSデバイスを再起動させることができる「Safari Ripper」という脆弱性が発見されたそうです。

Backdrop-filter is a relative new CSS property and works by blurring or color shifting to the area behind an element. This is a heavy processing task, and some software engineers and web developers have speculated that the rendering of this effect takes a toll on iOS’ graphics processing library, eventually leading to a crash of the mobile OS altogether.

Nasty piece of CSS code crashes and restarts iPhones – ZDNet

　この脆弱性はSafari 9でサポートされたCSSエフェクト「Backdrop-filter (WebKit.org)」の処理をdivで繰り返し行うことでiOSデバイスをクラッシュさせるというもので、HTMLとCSSコードだけで再現でき、確認したところリリース前のiOS 12やmacOS 10.14 MojaveのSafari(WebKit)でも再現できました。

　Safari RipperのPoCはGitHubに公開されており、このコードを利用したWebサイトも公開されていますが、iOSデバイスはクラッシュ、スペックにもよりますがMacでもSafariが完全にフリーズし、場合によってはシステムまで巻き込んでフリーズする場合があるので、不審なURLSNSで送られてきた場合は安易にクリックしないことをお勧めします。

追記

　この脆弱性は現地時間2018年09月17日にリリースされた「iOS 12」でも未修正です。

• Safari Ripper ☠️ – GitHub
• Nasty piece of CSS code crashes and restarts iPhones – ZDNet