Speziell präparierter CSS-Code lässt iPhones und iPads abstürzen

Der Fehler steckt in der Rendering-Engine WebKit. Eine modifizierte Version des Codes führt unter Umständen unter macOS zu wiederholten Neustarts. Auch Edge und Internet Explorer 11 können den Code nicht verarbeiten.

Ein Sicherheitsforscher hat bei der Suche nach Anfälligkeiten in Browsern einen Fehler in der Rendering-Engine WebKit von Safari entdeckt. Er führt unter Umständen dazu, dass Safari abstürzt und einen Neustart von iPhones und iPads auslöst. Ein Nutzer muss lediglich dazu verleitet werden, eine Website zu besuchen, die speziell präparierten CSS-Code enthält.

Laut Sabri Haddouche, Softwareentwickler und Sicherheitsforscher beim Herausgeber der Messaging-App Wire, ist der CSS-Code, den er auf Twitter veröffentlicht hat, nicht sehr kompliziert. Er basiert auf der relativ neuen CSS-Funktion Backdrop-Filter, die die Bereiche hinter einem Element farblich verändern oder unscharf machen soll. Da der Vorgang unter Umständen viele Ressourcen benötigt, wird vermutet, dass der Code die Grafikbibliothek von iOS überlastet wird und damit zum Absturz des Betriebssystems führt.

„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, sagte Haddouche im Gespräch mit ZDNet USA. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“

Betroffen ist allerdings nicht nur Safari unter iOS. Auch die Mac-Version reagiert dem Forscher zufolge auf die von ihm eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“

Werde dem veröffentlichten CSS/HTML-Code jedoch noch JavaScript hinzugefügt, ergebe sich ein DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“

Apple sei über das Problem informiert, ergänzte Haddouche. „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“

Chrome und Opera sind nicht betroffen

Neowin hat bei eigenen Tests festgestellt, dass der Beispielcode auch MicrosoftEdge und Internet Explorer 11 Probleme bereitet. Edge habe das Laden der fraglichen Seite jedoch nach einigen Sekunden mit einer Fehlermeldung abgebrochen. Google Chrome lade die Seite indes innerhalb weniger Sekunden ohne jegliche Probleme. Bei einem Test von ZDNet wurde der Code auch von Samsung Internet 7.2 auf einem Nexus 9 mit Lineage OS 14.1 problemlos ausgeführt. Auch Opera benötigte auf einem Intel-Haswell-System mit Windows 10 Version 1803 weniger als eine Sekunde, um die Seite korrekt anzuzeigen. Warum einige Browser über den Beispielcode stolpern und andere nicht, ist noch nicht geklärt.

EB-BR360ABE akkus für Samsung Gear Fit2 Fit2 SM-R360
PB-42L akkus für KENWOOD Portable Radios TH-F6 TH-F6A TH-F7 TH-F7E
AA06XL akkus für HP ZBook 17 G4-2ZC18ES Z3R03UT
SR04XL akkus für HP Omen 15-ce000 15-ce000ng
C12N1419 akkus für ASUS Transfürmer Book T100 CHI serie
LB62119E akkus für LG R500 S510-X
061384 061385 akkus für BOSE SOUNDLINK Mini serie