Exploit basado en CSS puede bloquear tus dispositivos Apple

18 de septiembre de 2018 Gustavo Genez

Se ha revelado la PoC que únicamente contiene unas pocas líneas de código CSS y HTML.

Sabri Haddouche es el nombre del investigador que ha descubierto este fallo. La prueba de concepto liberada fue colgada en Twitter y en su Github. Más allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el kernel del dispositivo y un reinicio completo del sistema.

Explicación del fallo:

El exploit aprovecha una debilidad en el motor de renderizado de Apple Webkit, que es utilizado por todas las aplicaciones y navegadores de la conocia marca. Dado que Webkit no cargaba correctamente varios elementos como etiquetas

dentro de una propiedad del filtro CSS, el investigador creó una web que utiliza todos los recursos del dispositivo, provocando el apagado y reinicio del mismo.

Prueba de concepto:

Todos los navegadores que corren sobre iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y Linux no se ven afectados por esta vulnerabilidad.

De momento no hay parche disponible contra este fallo, pero se presupone que Apple está investigando el problema.

Daniel Púa
@devploit
dpua@hispasec.com

Más información:

Código de la PoC:
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

Comparte esto:

Gustavo Genez

También te puede gustar

EternalBlue dos años después: ataques contra ayuntamientos.

20 años y seguimos tan jóvenes

Routers D-Link en el punto de mira de MooBot