Een beveiligingsonderzoeker heeft een kwetsbaarheid in iOS gevonden, die ervoor zorgt dat het besturingssysteem door een simpel stuk css-code crasht. De kwetsbaarheid zit in de WebKit-engine voor de Safari-browser. Ook macOS zou last hebben van de fout.

 

Op Twitter liet zien hoe het gebruik van bepaalde css-code kan leiden tot een crash van het besturingssysteem, waarna het apparaat herstart. Hij plaatste daarbij ook een link naar een webpagina met de bewuste css-code, waardoor gebruikers zelf kunnen zien of hun iOS-apparaat crasht. Ook plaatste Haddouche een link naar de broncode die hij gebruikte om iOS-toestellen te laten crashen.

Dat iOS-apparaten door bepaalde broncode niet meer goed functioneren komt door het backdrop-filter-effect, een relatief nieuwe css-functie. Als het backdrop-filter-effect wordt toegepast op een aantal geneste div-elementen loopt WebKit, de engine van de Safari-browser, vast. Dit komt vermoedelijk doordat backdrop-filter relatief zwaar is om te verwerken, wat vervolgens resulteert in een kernel panic.

Volgens Haddouche werkt de methode ook op macOS, al loopt daar de browsertab slechts korte tijd vast en treedt er geen reboot op. Wel stelt de beveiligingsonderzoeker dat ook macOS-apparaten te crashen zijn, maar daarvoor is een gemodificeerde versie van de kwaadaardige code nodig met onder andere javascript-elementen. Haddouche liet hier geen voorbeeld van zien.

Apple is op de hoogte gesteld van de bevindingen, en heeft laten weten dat het onderzoek doet. Of en wanneer dat leidt tot het uitbrengen van een fix is echter nog onduidelijk.

Het is niet de eerste keer dat er een kwetsbaarheid wordt ontdekt in iOS die voor een crash zorgt. Zo repareerde Apple onlangs een fout in het besturingssysteem waardoor Whatsapp kon crashen door het sturen van een Indiaas teken. Ook werd er een update uitgebracht om het vastlopen van chatapps te voorkomen als gevolg van het typen van het woord Taiwan of het ontvangen van een emoji van de Taiwanese vlag.

Reacties mogelijk gemaakt door CComment