iPhone und iPad: Kernel-Panik per Web-Link

Aktuell kursiert ein HTML- und CSS-Schnipsel, mit dem sich iOS-Geräte zum Neustart zwingen lassen. Der Fall erinnert an ähnliche Angriffe per iMessage.

Apples iOS-Browser Safari lässt sich ausnutzen, um eine Kernel Panic und einen Neustart bei iPhone, iPad und iPod touch zu provozieren. Aktuell kursiert ein entsprechender Link auf eine Website, die einige Zeilen HTML- und CSS-Code enthält. Ausgenutzt wird ein Fehler im Background-Filter-Effekt, der es erlaubt, den Browser zu überlasten. Ein vom iOS-Gerät errechneter Blur-Effekt wird dabei auf zahllose DIV-Elemente gelegt, was den WebKit-Renderer überlastet. Daraufhin kommt es zu einer Kernel-Panik, die wiederum einen Neustart auslöst.

Damit der Exploit abläuft, muss ein Nutzer nur auf den entsprechenden Link klicken, der ihn etwa per WhatsApp erreicht. Alternativ scheint es auch möglich zu sein, den Code per E-Mail zu versenden und erst die Mail-Anwendung und dann das komplette Gerät zum Absturz zu bringen, weil im Mail-Client ebenfalls ein WebKit-Renderer steckt. Es scheint hingegen nicht auszureichen, den Link per iMessage zu verschicken – obwohl auch dort eine Vorschau generiert wird.

Nutzer sollten wie üblich vermeiden, ihnen merkwürdig oder unbekannt erscheinende Links anzuklicken. E-Mails mit dem Schadcode sollte man bereits aus der Nachrichten-Vorschau heraus löschen.

Apple hat sich zu der Lücke bislang nicht geäußert; sie müsste wohl im Rahmen eines iOS-Updates behoben werden. Berichten zufolge steckt der Fehler auch in iOS 12, das am heutigen Montag offiziell erscheint. Auch scheint es möglich zu sein, den Safari-Browser auf dem Desktop anzugreifen – dabei bleibt das Problem aber nur auf den Browser beschränkt, den man dann abschießen muss.

2018-09-17T11:42:01+00:00