Breaking News
AMR | Sophos Webinar

นักวิจัยชี้ช่องโหว่ใหม่ในการโจมตีด้วย CSS ทำให้ iPhone รีสตาร์ทหรือ Mac ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงการโจมตีด้วย CSS สามารถทำให้ iOS เกิดการรีสตาร์ทหรือทำให้เครื่อง Mac ค้างได้ เพียงแค่ผู้ใช้งานเข้าไปเว็บเพจที่มีการใช้งาน CSS และ HTML ที่ผู้โจมตีต้องการ อย่างไรก็ตามผู้ใช้งาน Windows และ Linux ไม่ได้รับผลกระทบ

Credit: Apple

Haddouche เล่าว่าไอเดียคือ “ผู้โจมตีสามารถใช้งานจุดอ่อนของคุณสมบัติของ CSS คือ -webkit-backdrop-filter” และ “ด้วยการใช้คุณสมบัติดังกล่าวหลายๆ ชั้น (nest) เราสามารถทำให้เกิดการใช้ทรัพยากรของอุปกรณ์และทำให้ระบบปฏิบัติการค้างได้ นอกจากนี้การโจมตีไม่ต้องอาศัย JavaScript ช่วยเลย อีกทั้งยังสามารถใช้งานได้บนอีเมลอีกด้วย คือ macOS จะทำให้หน้า UI ค้างส่วน iOS จะทำให้เกิดการรีสตาร์ทได้” อย่างไรก็ตามการโจมตีดังกล่าวส่งผลกระทบกับทุก Browser บน iOS และบนอีเมลของ macOS ด้วยสาเหตุเพราะมีการใช้ WebKit เพื่อแสดงผลเหมือนกัน

ผู้ใช้งาน iOS จะเกิดผลลัพธ์จากการโจมตี 2 กรณีจากการทดสอบคือ

  • เกิดการ Respring หรือเกิดการรีสตาร์ทหน้า UI (SpringBoard) บน iOS 11.4.1
  • เกิดการรีสตาร์ทตัวเองเพราะ Kernel ตอบสนองกับการกินทรัพยากรมากๆ บน iOS 12

ในส่วนของผู้ใช้งาน macOS นั้นจะทำให้เครื่องค้างและช้าลงแต่ก็สามารถแก้ไขได้ด้วยการปิดแท็บของ Safari ไปเพื่อหยุดการโจมตี โดยยังไม่มีวิธีการบรรเทาปัญหา ดังนั้นในระหว่างรอทาง Apple แก้ปัญหาทางนักวิจัยก็ได้เตือนให้ผู้ใช้ระมัดระวังในการเข้าลิงก์ที่ไม่น่าไว้ใจ ผู้สนใจสามารถลองเข้าไปทดสอบได้ที่ rawgit.com หรือไปศึกษารายละเอียดเชิงลึกส่วนการใช้ CSS ได้ที่ GitHub สามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/  



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ทำไม NGINX ถึงเป็นผู้นำตลาด Development Operations !!!

ขอเชิญรับชม NGINX Channel Live Project ในหัวข้อแรก “Introducing NGINX” ในวันพุธที่ 8 กรกฎาคม 2020 เวลา 19.00 – …

NSA ออกคำแนะนำการใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย

เป็นเรื่องดีอยู่แล้วที่องค์กรจะใช้งาน VPN อย่างไรก็ดีก็ยังเร็วเกินไปที่จะมั่นใจได้หากไม่มีการตั้งค่าอย่างเหมาะสม ด้วยเหตุนี้เอง NSA จึงออกคำแนะนำสำหรับองค์กรเพื่อเป็นแนวทางให้ใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย