Safaris Rendering-Engine WebKit weist einen massiven Fehler auf. So können Webseiten mit speziell präpariertem CSS-Code dazu führen, dass der Browser für mac- und iOS abstürzt und einen Neustart des verwendeten Geräts erzwingt.
CSS-Code startet dein Gerät neu
Dem Sicherheitsexperte Sabri Haddouche zufolge basiert der von ihm auf Twitter veröffentlichte Code auf der CSS-Funktion Backdrop-Filter. Die Funktion ermöglicht die farbliche Veränderung des Hintergrunds eines Elements oder kann diesen unscharf erscheinen lassen. Laut Haddouche, der als Softwareentwickler und Sicherheitsforscher für die Wire Swiss GmbH arbeitet, könnte die Ursache für den Neustart eine Überlastung der Grafikbibliothek iOS‘ sein.
„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, erklärte der Experte gegenüber ZDNet. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“
Auch dein Mac ist betroffen
Offenbar ist dabei allerdings nicht ausschließlich die iOS-Version Safaris betroffen. Zwar lässt der präparierte Code Mac-Geräte nicht abstürzen, jedoch sorgt er dafür, dass der Browser sich für eine Minute aufhängt und anschließend gedrosselt weiterläuft. Im Gegensatz zur Version fürs Smartphone oder Tablet sei es hier also möglich den Tab zu schließen.
Da Chrome, Opera und weitere Browser den Code entweder problemlos ausführten oder lediglich eine Fehlermeldung anzeigten, anschließend jedoch problemlos weiterliefen, informierte Haddouche lediglich Apple über den Bug: „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“