Разработчик Сабри Хэддоуч (Sabri Haddouche), специализирующийся на безопасности, обнаружил уязвимость, позволяющую легко вывести из строя мобильные устройства Apple и почти все современные браузеры.
Сбои и зависания Microsoft Edge, Internet Explorer и Safari происходят при попытке обработать веб-страницу со специальном кодом CSS. Просто отправив пользователю ссылку на такой сайт можно вызвать зависание или перезагрузку его устройства, если, конечно, пользователь неосторожно откроет такую ссылку.
Хэддоуч выложил на своём GitHub пример такой страницы и дал на неё ссылку в Twitter, она содержит всего 15 строчек кода. По этой ссылке лучше не переходить, если только вы не хотите, чтобы ваш iPhone внезапно перезагрузился, а браузер завис.
How to force restart any iOS device with just CSS? 💣
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— Sabri (@pwnsdx) September 15, 2018
Исследователь отметил, что проблема касается движка для браузеров WebKit. Она связана со сложностями загрузки многочисленных элементов в свойстве backdrop-filter CSS, которое отвечает за эффекты размытия или смещения цвета для фона. Загрузка такой страницы задействует все ресурсы устройства, что приводит к перезагрузке из-за критической ошибки ядра операционной системы.
Журналисты Neowin обнаружили, что атака работает не только на браузерах на базе WebKit, но также приводит к временным зависаниям Microsoft Edge и Internet Explorer 11. Интересно, что проблемный код CSS не вызвал сбоя в Google Chrome.