Nell’ultimo anno abbiamo visto una serie di Link e di caratteri strani in grado di mandare in crash la SpringBoard facendo di fatto riavviare l’iPhone. Quello di oggi è stato scoperto da @pwnsdx, un ricercatore che ha diffuso il link su Twitter.
Purtroppo dobbiamo ammettere che funziona su tutte le versioni di iOS, compresa la 11 e la 12 (di imminente rilascio). Per questa ragione non inseriremo l’URL “incriminato” all’interno di questo articolo, evitandovi di provarlo e di diffonderlo ulteriormente.
Lo scopo di questi articoli è meramente informativo, al fine di mettere al corrente Apple della situazione e di farla correre ai ripari (come ha sempre fatto, con una considerevole velocità). Il bug in realtà è molto semplice e non rappresenta una falla di sicurezza:
Semplicemente è stata creata una pagina web all’interno della quale troviamo alcune righe di CSS che cercano di applicare un effetto di ombreggiatura e sfocatura a tutti gli elementi <div>. Naturalmente nell’HTML sono stati (volutamente) inseriti tantissimi <div> e di conseguenza il motore di rendering di WebKit va in overload, fallisce e si crea il crash.
A differenza degli altri bug conosciuti negli scorsi mesi, dove bastava ricevere una notifica di email o imessage per far impazzire il cellulare, questa volta bisogna volutamente aprire Safari e digitare l’indirizzo di un sito intenzionalmente creato per fare questo. Vi renderete conto quindi, che non si tratta di un qualcosa di cui allarmarsi anche se – detto francamente – il CSS ed un JavaScript non dovrebbero mai essere in grado di buttare giù un sistema come questo. Vedremo come si comporteranno Apple ed il gruppo WebKit.
— Sabri (@pwnsdx) 15 settembre 2018
Leggi o Aggiungi Commenti