Исследователь безопасности по имени Сабри Хэддоуч (Sabri Haddouche) обнаружил уязвимость, воспользовавшись которой можно вызвать перезагрузку всех мобильных устройств от Apple и зависание практически всех браузеров.
Если пользователь попробует открыть ссылку содержащую специальный код CSS, присланную на устройство, то с большой долей вероятности это приведет к перезагрузке устройства от Apple или же зависанию браузера Microsoft Edge, Internet Explorer и Safari.
Как оказалось, сбой происходит при попытке браузера обработать веб-страницу, содержащую код. Исследователь оставил ссылку на такую страницу в Twitter и на своём GitHub. Код содержит всего 15 строчек.
How to force restart any iOS device with just CSS? 💣
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— S (@pwnsdx) September 15, 2018
Предупреждаем, что попытка открыть ссылку может вызвать перезагрузку вашего iPhone или вывести из строя браузер.
По словам Хэддоуча проблема связана с особенностями работы движка WebKit для браузеров, а в частности с загрузкой большого числа элементов в свойстве backdrop-filter CSS, отвечающем за эффекты размытия и переход цвета фона. Загрузка такой страницы требует задействования всех ресурсов устройства, что вызывает перезагрузку из-за критической ошибки ядра операционной системы.
Немного позже специалисты издания Neowin сообщили, что такая атака работает не только с браузерами на движке WebKit и вызывает сбои в работе Microsoft Edge и Internet Explorer 11, а вот браузер Google Chrome обрабатывает CSS-код без проблем.