Overslaan en naar de inhoud gaan

iPhones crashen op CSS-bug in Safari

Apple's webbrowser Safari bevat een ernstige bug waardoor bepaalde CSS-code niet alleen de browser maar het hele onderliggende besturingssysteem laat vastlopen. Een automatisch geforceerde herstart is het gevolg. De security-onderzoeker die dit probleem heeft ontdekt, heeft de crashende code vrijgegeven op internet.
iPhone X gray 2017
© Apple
Apple

Het bezoeken van een site met de malafide CSS-code is genoeg om een iPhone hard te resetten. Deze fout, Safari Ripper genoemd, lijkt aanwezig in meerdere iOS-releases: uiteenlopend van de allernieuwste versie 12 teruggaand tot en met versie 9. Dit blijkt uit reacties van testers onder de GitHub-repository voor Safari Ripper.

Browserintegratie

De bug is volgens ontdekker Sabri Haddouche specifiek voor browsermotor WebKit, die door onder meer Apple wordt gebruikt. Microsofts browser Edge, die is ingebouwd in Windows 10, is niet vatbaar. Ook het door Mozilla ontwikkelde Firefox en Google's Chrome zijn immuun. Laatstgenoemde dankt dit aan een experimentele functie die standaard niet aan staat. Verder lopen alle versies van Microsofts oude browser Internet Explorer ook vast.

Ernstiger is het crashen van Safari dat heel iOS onderuit haalt. Ook Apple's computerbesturingssysteem macOS blijkt kwetsbaar te zijn. Op Macs is er geen sprake van een geforceerde reboot, maar wel van volledig vastlopen van de computer. De crashende CSS-code verricht op iOS zijn saboterende gedrag ook als het via de mail-app wordt aangeroepen. De in iOS ingebouwde mailclient gebruikt namelijk Safari voor het weergeven van webcontent, zoals dus ook Safari Ripper.

Disclosure

Haddouche heeft eind vorig jaar een grote kwetsbaarheid in zeker 33 mailclients ontdekt en wereldkundig gemaakt. De security-onderzoeker heeft de openbaarmaking toen pas gedaan nadat hij de diverse makers van de kwetsbare mailapplicaties had ingelicht. Het is niet bekend of hij Apple en/of WebKit-ontwikkelaars al heeft ingelicht. Het feit dat de nieuwste bèta van iOS 12 kwetsbaar is, doet vermoeden dat de maker van Safari niet is geïnformeerd. Apple heeft afgelopen week bij de onthulling van nieuwe iPhones ook aangekondigd dat de definitieve release van iOS 12 op 17 september uitkomt.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in