Sabri Haddouche, un chercheur en sécurité a découvert une vulnérabilité du moteur de rendu WebKit du navigateur web Safari d’Apple sur iOS et macOS.

Elle est exploitable en chargeant une page web avec du code CSS, et l’une de ses propriétés récentes : Backdrop-filter.

Ce qui consomme rapidement toutes les ressources graphiques de l’appareil et mettent le noyau du système d’exploitation en état de panique.

 

Haddouche a publié une preuve de concept sur Twitter, avec un lien qui montre le code source, et l’autre qui va planter votre appareil iOS.

Il n’a pas publié la preuve pour macOS, car il a découvert qu’une session Safari persistait après un redémarrage de l’ordinateur : la page malicieuse est relancée au chargement de macOS, ce qui plante le système.

Haddouche affirme avoir notifié Apple du problème, sans préciser il y a combien de temps.

Comme Apple force toute application HMTL et tout navigateur à utiliser WebKit sur iOS, la vulnérabilité devrait planter toute application capable de lire une page HTML.

Aucun correctif de sécurité n’est disponible à ce jour.