นักวิจัยชี้ช่องโหว่ใหม่ในการโจมตีด้วย CSS ทำให้ iPhone รีสตาร์ทหรือ Mac ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงการโจมตีด้วย CSS สามารถทำให้ iOS เกิดการรีสตาร์ทหรือทำให้เครื่อง Mac ค้างได้ เพียงแค่ผู้ใช้งานเข้าไปเว็บเพจที่มีการใช้งาน CSS และ HTML ที่ผู้โจมตีต้องการ อย่างไรก็ตามผู้ใช้งาน Windows และ Linux ไม่ได้รับผลกระทบ

Credit: Apple

Haddouche เล่าว่าไอเดียคือ “ผู้โจมตีสามารถใช้งานจุดอ่อนของคุณสมบัติของ CSS คือ -webkit-backdrop-filter” และ “ด้วยการใช้คุณสมบัติดังกล่าวหลายๆ ชั้น (nest) เราสามารถทำให้เกิดการใช้ทรัพยากรของอุปกรณ์และทำให้ระบบปฏิบัติการค้างได้ นอกจากนี้การโจมตีไม่ต้องอาศัย JavaScript ช่วยเลย อีกทั้งยังสามารถใช้งานได้บนอีเมลอีกด้วย คือ macOS จะทำให้หน้า UI ค้างส่วน iOS จะทำให้เกิดการรีสตาร์ทได้” อย่างไรก็ตามการโจมตีดังกล่าวส่งผลกระทบกับทุก Browser บน iOS และบนอีเมลของ macOS ด้วยสาเหตุเพราะมีการใช้ WebKit เพื่อแสดงผลเหมือนกัน

ผู้ใช้งาน iOS จะเกิดผลลัพธ์จากการโจมตี 2 กรณีจากการทดสอบคือ

  • เกิดการ Respring หรือเกิดการรีสตาร์ทหน้า UI (SpringBoard) บน iOS 11.4.1
  • เกิดการรีสตาร์ทตัวเองเพราะ Kernel ตอบสนองกับการกินทรัพยากรมากๆ บน iOS 12

ในส่วนของผู้ใช้งาน macOS นั้นจะทำให้เครื่องค้างและช้าลงแต่ก็สามารถแก้ไขได้ด้วยการปิดแท็บของ Safari ไปเพื่อหยุดการโจมตี โดยยังไม่มีวิธีการบรรเทาปัญหา ดังนั้นในระหว่างรอทาง Apple แก้ปัญหาทางนักวิจัยก็ได้เตือนให้ผู้ใช้ระมัดระวังในการเข้าลิงก์ที่ไม่น่าไว้ใจ ผู้สนใจสามารถลองเข้าไปทดสอบได้ที่ rawgit.com หรือไปศึกษารายละเอียดเชิงลึกส่วนการใช้ CSS ได้ที่ GitHub สามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/  

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IP Fabric เปิดตัวอัปเดต 7.0 เพิ่มความมั่นคงปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับระบบมัลติคลาวด์

สตาร์ทอัพด้านการตรวจรับรองเครือข่ายโดยอัตโนมัติ IP Fabric ประกาศเปิดตัว IP Fabric Version 7.0 ซึ่งเป็นเวอร์ชันใหม่ของแพลตฟอร์มที่ออกแบบมาเพื่อช่วยให้องค์กรปฏิบัติตามข้อกำหนดด้านกฎระเบียบและมาตรฐาน ความมั่นคงปลอดภัยได้ง่ายยิ่งขึ้น พร้อมเสริมความยืดหยุ่นในการดำเนินงานสำหรับบริการดิจิทัลที่สำคัญในสภาพแวดล้อมมัลติคลาวด์

Amazon CloudFront คืออะไร ?

Amazon CloudFront คือบริการเครือข่ายส่งมอบเนื้อหา (Content Delivery Network หรือ CDN) ความเร็วสูงของ Amazon Web Services (AWS) ที่จะส่งมอบข้อมูลต่าง ๆ …