Durch das Öffnen einer Seite mit nut wenigen Zeilen CSS-Code können iOS-Geräte wie iPhone oder iPad zum Absturz gebracht werden.
In Apples Webkit ist eine neue Schwachstelle entdeckt worden, so können Angreifer durch nur ein paar Zeilen CSS-Code, iPhone und iPad relativ einfach zum Absturz gebracht werden.
Das CSS-Snippet muss dazu nur auf einer Seite platziert werden, wenn der iOS-User diese zum Beispiel als Link erhält und mittels des Safari-Browsers öffnet, stürzt das Gerät ab. Dabei liegt die Ursache des Problems wohl in einem noch recht neuen Feature der Stylesheet-Sprache CSS. Dieses erlaubt es beispielsweise den Hintergrund eines Objektes verschwimmen zu lassen und dessen Farbe zu verändern, so können Elemente, die über ein Bild gelegt werden, besser erkennbar gestaltet werden.
Die Sicherheitslücke selbst liegt in Apples Webkit-Rendering-Engine, die für die Darstellung von Webseiten zuständig ist. Und da Apple alle Browserhersteller zur Verwendung des hauseigenen Webkits zwingt, sind alle Browser unter iOS betroffen. Und nicht nur Browser, auch andere Apps greifen auf die Webkitinhalte zur Darstellung zurück, so können auch einige Apps angreifbar sein.
Veröffentlicht hat die Sicherheitslücke, der Sicherheitsforscher Sabri Haddouche über Github. Laut Haddouche prüft Apple derzeit die herangetragenen Informationen. Der Angriff funktioniert ab iOS 9, das bereits im Jahre 2015 erschien.
Für die Sicherheitslücke gibt es momentan noch keinen Patch oder Workaround. Haddouche rät ebenfalls, nicht willkürlich auf den Link zu klicken. Nun sind Apple sowie andere Browserhersteller gefragt, die Lücke schnell zu beheben.
Immer wieder Ärger mit Webkit
Apple hatte bereits des Öfteren mit verschiedenen Fehlern in Webkit zu kämpfen, erst im Februar 2018 gab es den berüchtigten Telugu-Bug, bei dem es bei der Darstellung des komplexen Unicodes zu Problemen kam und iOS- und macOS-Geräte abstürzten. Auch machen immer wieder einmal auf Social-Media-Plattformen, Links die Runde, die Safari zum Absturz brachten oder sogar blockierten, so zuletzt der ChaiOS genannte Crash-Link der über Twitter verbreitet wurde.
BL253 akkus für Lenovo A2010 A2800-D A3600d
42N1403 akkus für ASUS A42LM93 G751J-BHI7T25 GFX71JY4710 88WH
061384 061385 akkus für BOSE SOUNDLINK Mini serie
C32N1415 akkus für ASUS ZenBook Pro UX501J UX501L
TM9HP akkus für Dell Latitude 13 7350 Ultrabook
EB-BR760A akkus für Samsung Gear S3 Frontier, Gear S3 Classic