Een beveiligingsonderzoeker heeft ontdekt dat een combinatie van relatief nieuwe CSS-code problemen veroorzaakt op Apple iPhones, iPads en computers van Apple. Een link naar een webpagina waar deze CSS-code wordt gebruikt, veroorzaakt een crash, waardoor iPhones en iPads zichzelf opnieuw opstarten en een Mac-computer in het ergste geval in een 'boot loop' terecht kan komen.
CSS is een script-taal waarmee stylesheets voor webpagina's worden gemaakt. In CSS stylesheets staat exact beschreven hoe een bepaalde tekst of afbeelding opgemaakt en weergegeven moet worden. CSS wordt voortdurend ontwikkeld en aangevuld met nieuwe mogelijkheden.
Buffer overflow
Door een serie van recent toegevoegde CSS-mogelijkheden te gebruiken op een webpagina, blijkt het grafische werkgeheugen van iPhones, iPads en Mac-computers vol te lopen. Zodra het werkgeheugen vol zit, loopt de iPhone, iPad of Mac vast en herstart zichzelf.
Na de herstart is er bij iPhones en iPads niets meer aan de hand en kunnen deze gewoon weer gebruikt worden. Bij computers is het probleem vervelender, omdat na een herstart de computer de webbrowser en laatst geopende pagina automatisch weer opstart, waarna het probleem zich blijft herhalen.
De kwetsbaarheid zou misbruikt kunnen worden om systemen aan te vallen en vast te laten lopen. Een dergelijke aanval is erg eenvoudig, aangezien voor de aanval alleen een linkje naar de webpagina met daarop de specifieke CSS-code gestuurd hoeft te worden. Deze link kan via allerlei kanalen gestuurd worden, bijvoorbeeld WhatsApp, iMessage of email. Na het klikken op de betreffende link wordt de webpagina geladen en zorgt de CSS code van de webpagina voor een buffer overflow.
Niet openbaar
De beveiligingsonderzoeker die de kwetsbaarheid ontdekte, heeft deze gemeld bij Apple. Apple zal de kwetsbaarheid naar verwachting met een volgende iOS-update of een update voor het Mac OS verhelpen. De specifieke CSS-code die zorgt voor de problemen op Apple apparaten is niet openbaar gemaakt.
