iPhone und iPad: Einen Klick vom Absturz entfernt

Mit wenigen Zeilen CSS-Code können iPhone und iPad zum Absturz gebracht werden. Auch andere Betriebssysteme und Browser sind betroffen.

Artikel veröffentlicht am , Moritz Tremmel
IPhones und iPads lassen sich durch päparierte Links ausschalten.
IPhones und iPads lassen sich durch päparierte Links ausschalten. (Bild: Oliur/unsplash license)

Ein Klick in Safari unter iOS auf einen präparierten Link, der eine Webseite mit ein paar Zeilen CSS-Code lädt, bringt iPhones und iPads zum Abstürzen. Der bei Wire angestellte Sicherheitsforscher Sabri Haddouche hat den Fehler gefunden und auf Twitter veröffentlicht. Kurze Zeit später entdeckten die ersten Twitter-Nutzer ähnliche Fehler in anderen Browsern unter anderen Betriebssystemen, darunter Internet Explorer unter Windows, Chrome unter MacOS und Firefox unter Linux.

Stellenmarkt
  1. Consultant Microsoft Dynamics 365 CRM (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, verschiedene Standorte (Home-Office)
  2. Systemadministrator (m/w/d) Customer Service
    Dürkopp Fördertechnik GmbH, Bielefeld
Detailsuche

In Apples iOS liegt die Sicherheitslücke in der Webkit-Rendering-Engine, die für die Darstellung von Webseiten zuständig ist. Apple zwingt alle Browserhersteller, das hauseigene Webkit zur Darstellung von Webseiten zu verwenden und nicht auf eigene Entwicklungen zu setzen. Daher sind alle Browser unter iOS von der Lücke betroffen. Auch andere Apps greifen zur Darstellung von Webinhalten auf das integrierte Webkit zurück und sind daher ebenfalls angreifbar.

Sabri Haddouche hat Apple vor der Veröffentlichung der CSS-Zeilen auf Github informiert. Apple prüft die Informationen laut Haddouche derzeit. Der Angriff funktioniert ab iOS 9, das bereits 2015 erschien.

Eine abgewandelte Version des Angriffs nutzt Javascript und greift Safari unter MacOS an. Haddouche sagt, er habe den Quellcode hierzu allerdings nicht veröffentlicht, da der Browser nach einem erzwungenen Neustart des Rechners automatisch gestartet werde. Dieser führe die Webseite erneut aus und bringe den Rechner zum Absturz. Die Nutzersession würde hierdurch blockiert.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    30.01.-02.02.2023, virtuell
  2. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
Weitere IT-Trainings

Für die Sicherheitslücken gibt es im Moment keine Patches oder Workarounds. Haddouche rät, nicht willkürlich auf jeden Link zu klicken. Apple müsse die Lücke schnell beheben. Gleiches gilt für die anderen Browser- und Betriebssystemhersteller.

Der Sicherheitsforscher fand die Lücken, während er Browser auf Denial-of-Service-Schwachstellen (DoS) untersuchte. Anfang des Monats veröffentlichte er einen ähnlichen Angriff, der mit einer Zeile Javascript-Code Chrome und Chrome OS zum Absturz brachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


derdiedas 09. Nov 2018

Mein Android Smartphone bootet auch öfters ohne das ich es Nachvollziehen kann warum. Und...

Freddy1404 22. Sep 2018

Absturz von sowohl Chromium 69.0.3497.92, als auch Firefox 60.2.0esr unter Debian...

razer 18. Sep 2018

backdrop filter sind noch nicht im css standard. korrekt rendern ist nach aktuellem ma...



Aktuell auf der Startseite von Golem.de
Oliver Blume
VW verwirft Trinity-Modell und plant nochmal neu

VWs Ingenieure müssen den Trinity neu planen, weil das Design bei der Konzernspitze durchgefallen ist. Zudem gibt es eine neue Softwarestrategie.

Oliver Blume: VW verwirft Trinity-Modell und plant nochmal neu
Artikel
  1. Bedenken zu Microsoft 365: Datenschützer will mit Wirtschaft über Office-Software reden
    Bedenken zu Microsoft 365
    Datenschützer will mit Wirtschaft über Office-Software reden

    Bei den Gesprächen könnte herauskommen, dass Microsoft 365 nicht mehr verwendet werden darf.

  2. Smart-TV: Google veröffentlicht Android TV 13
    Smart-TV
    Google veröffentlicht Android TV 13

    Bisher haben die meisten Smart-TVs und Streaminggeräte mit Googles TV-Betriebssystem noch nicht einmal ein Update auf Android TV 12 erhalten.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /