Se ha revelado la prueba de concepto
que únicamente hace usos de las tecnologías CSS y HTML para llevar a cabo su
explotación.
Sabri Haddouche es el nombre del
investigador que ha descubierto el reciente fallo. La prueba de concepto
liberada fue colgada en Twitter y en su Github. En ella, se demuestra que más
allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el
kernel del dispositivo y un reinicio completo del sistema.
Explicación
del fallo:
El exploit aprovecha una debilidad en
el motor de renderizado de Apple Webkit que es utilizado por todas las
aplicaciones y navegadores de la conocida marca. Dado que Webkit no cargaba
correctamente varios elementos como etiquetas
dentro de una
propiedad del filtro CSS, el investigador creó una web que utiliza todos los
recursos del dispositivo, provocando el apagado y reinicio del mismo.
Prueba de concepto:
Todos los navegadores que corren sobre
iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y
Linux no se ven afectados por esta vulnerabilidad.
De momento no hay parche disponible
contra este fallo, pero se presupone que Apple está investigando el problema.
Más
información:
·
Código
de la PoC: https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea
Fuente: Hispasec