• IT-Karriere:
  • Services:

iPhone und iPad: Einen Klick vom Absturz entfernt

Mit wenigen Zeilen CSS-Code können iPhone und iPad zum Absturz gebracht werden. Auch andere Betriebssysteme und Browser sind betroffen.

Artikel veröffentlicht am , Moritz Tremmel
IPhones und iPads lassen sich durch päparierte Links ausschalten.
IPhones und iPads lassen sich durch päparierte Links ausschalten. (Bild: Oliur/unsplash license)

Ein Klick in Safari unter iOS auf einen präparierten Link, der eine Webseite mit ein paar Zeilen CSS-Code lädt, bringt iPhones und iPads zum Abstürzen. Der bei Wire angestellte Sicherheitsforscher Sabri Haddouche hat den Fehler gefunden und auf Twitter veröffentlicht. Kurze Zeit später entdeckten die ersten Twitter-Nutzer ähnliche Fehler in anderen Browsern unter anderen Betriebssystemen, darunter Internet Explorer unter Windows, Chrome unter MacOS und Firefox unter Linux.

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  2. Deutsches Dialog Institut GmbH, Frankfurt am Main

In Apples iOS liegt die Sicherheitslücke in der Webkit-Rendering-Engine, die für die Darstellung von Webseiten zuständig ist. Apple zwingt alle Browserhersteller, das hauseigene Webkit zur Darstellung von Webseiten zu verwenden und nicht auf eigene Entwicklungen zu setzen. Daher sind alle Browser unter iOS von der Lücke betroffen. Auch andere Apps greifen zur Darstellung von Webinhalten auf das integrierte Webkit zurück und sind daher ebenfalls angreifbar.

Sabri Haddouche hat Apple vor der Veröffentlichung der CSS-Zeilen auf Github informiert. Apple prüft die Informationen laut Haddouche derzeit. Der Angriff funktioniert ab iOS 9, das bereits 2015 erschien.

Eine abgewandelte Version des Angriffs nutzt Javascript und greift Safari unter MacOS an. Haddouche sagt, er habe den Quellcode hierzu allerdings nicht veröffentlicht, da der Browser nach einem erzwungenen Neustart des Rechners automatisch gestartet werde. Dieser führe die Webseite erneut aus und bringe den Rechner zum Absturz. Die Nutzersession würde hierdurch blockiert.

Für die Sicherheitslücken gibt es im Moment keine Patches oder Workarounds. Haddouche rät, nicht willkürlich auf jeden Link zu klicken. Apple müsse die Lücke schnell beheben. Gleiches gilt für die anderen Browser- und Betriebssystemhersteller.

Der Sicherheitsforscher fand die Lücken, während er Browser auf Denial-of-Service-Schwachstellen (DoS) untersuchte. Anfang des Monats veröffentlichte er einen ähnlichen Angriff, der mit einer Zeile Javascript-Code Chrome und Chrome OS zum Absturz brachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. 1.199,00€

derdiedas 09. Nov 2018

Mein Android Smartphone bootet auch öfters ohne das ich es Nachvollziehen kann warum. Und...

Freddy1404 22. Sep 2018

Absturz von sowohl Chromium 69.0.3497.92, als auch Firefox 60.2.0esr unter Debian...

razer 18. Sep 2018

backdrop filter sind noch nicht im css standard. korrekt rendern ist nach aktuellem ma...


Folgen Sie uns
       


HP Pavilion Gaming 15 - Fazit

Das Pavilion Gaming 15 ist für 1.000 Euro ein gut ausgestattetes und durchaus flottes Spiele-Notebook.

HP Pavilion Gaming 15 - Fazit Video aufrufen
Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Red Dead Redemption 2 für PC angespielt: Schusswechsel mit Startschwierigkeiten
Red Dead Redemption 2 für PC angespielt
Schusswechsel mit Startschwierigkeiten

Die PC-Version von Red Dead Redemption 2 bietet schönere Grafik als die Konsolenfassung - aber nach der Installation dauert es ganz schön lange bis zum ersten Feuergefecht in den Weiten des Wilden Westens.

  1. Rockstar Games Red Dead Redemption 2 belegt 150 GByte auf PC-Festplatte
  2. Rockstar Games Red Dead Redemption 2 erscheint für Windows-PC und Stadia
  3. Rockstar Games Red Dead Online wird zum Rollenspiel

    •  /