2376887

CSS-Code bringt iPhones und iPads zum Absturz

17.09.2018 | 13:24 Uhr | René Resch

Durch das Öffnen einer Seite mit nut wenigen Zeilen CSS-Code können iOS-Geräte wie iPhone oder iPad zum Absturz gebracht werden.

In Apples Webkit ist eine neue Schwachstelle entdeckt worden, so können Angreifer durch nur ein paar Zeilen CSS-Code, iPhone und iPad relativ einfach zum Absturz gebracht werden.

Das CSS-Snippet muss dazu nur auf einer Seite platziert werden, wenn der iOS-User diese zum Beispiel als Link erhält und mittels des Safari-Browsers öffnet, stürzt das Gerät ab. Dabei liegt die Ursache des Problems wohl in einem noch recht neuen Feature der Stylesheet-Sprache CSS. Dieses erlaubt es beispielsweise den Hintergrund eines Objektes verschwimmen zu lassen und dessen Farbe zu verändern, so können Elemente, die über ein Bild gelegt werden, besser erkennbar gestaltet werden.

Die Sicherheitslücke selbst liegt in Apples Webkit-Rendering-Engine, die für die Darstellung von Webseiten zuständig ist. Und da Apple alle Browserhersteller zur Verwendung des hauseigenen Webkits zwingt, sind alle Browser unter iOS betroffen. Und nicht nur Browser, auch andere Apps greifen auf die Webkitinhalte zur Darstellung zurück, so können auch einige Apps angreifbar sein.

Veröffentlicht hat die Sicherheitslücke, der Sicherheitsforscher Sabri Haddouche über Github. Laut Haddouche prüft Apple derzeit die herangetragenen Informationen. Der Angriff funktioniert ab iOS 9, das bereits im Jahre 2015 erschien.

Für die Sicherheitslücke gibt es momentan noch keinen Patch oder Workaround. Haddouche rät ebenfalls, nicht willkürlich auf den Link zu klicken. Nun sind Apple sowie andere Browserhersteller gefragt, die Lücke schnell zu beheben.

Immer wieder Ärger mit Webkit

Apple hatte bereits des Öfteren mit verschiedenen Fehlern in Webkit zu kämpfen, erst im Februar 2018 gab es den berüchtigten Telugu-Bug, bei dem es bei der Darstellung des komplexen Unicodes zu Problemen kam und iOS- und macOS-Geräte abstürzten. Auch machen immer wieder einmal auf Social-Media-Plattformen, Links die Runde, die Safari zum Absturz brachten oder sogar blockierten, so zuletzt der ChaiOS genannte Crash-Link der über Twitter verbreitet wurde.

Macwelt Marktplatz

2376887