15行代碼讓蘋果設備崩潰，最新的iOS 12也沒法倖免

15行代碼讓蘋果設備崩潰，最新的iOS 12也沒法倖免

譯者｜無明
編輯｜覃雲
國外安全研究人員 Sabri Haddouche 發現了一個只需幾行代碼就可讓 iPhone 崩潰並重啓的方法。
Sabri Haddouche 在 GitHub 上發佈了一個示例網頁，只有 15 行代碼，若是在 iPhone 或 iPad 上訪問這個頁面，就會崩潰並重啓。在 macOS 上使用 Safari 打開該頁面也會出現瀏覽器掛起，沒法動彈。
這段代碼利用了 iOS Web 渲染引擎 WebKit 中的一個漏洞。Haddouche 解釋說，在 CSS 過濾器屬性中嵌套大量元素（如<div>），就會耗盡設備的資源，並致使內核崩潰，而後關閉並從新啓動操做系統。
Haddouche 說，「任何在 iOS 上渲染 HTML 的應用程序都會受到影響」。他警告說，任何人均可以經過 Facebook 或 Twitter 上向你發送連接，或者經過電子郵件發送連接，若是你打開了這些鏈接或者訪問了任何包含這段代碼的網頁，就會中招。
下面是 Haddouche 的推文截圖：

他在推文中給出了網頁連接和 GitHub 代碼連接，並事先給出警告，若是點了那個網頁連接後果自負。
經安全公司 Malwarebytes 的證明，最新的 iOS 12 測試版在單擊這個連接時也會發生掛起。
即便有些「幸運」的設備不會發生崩潰，也會從新啓動用戶界面。
好在這個***雖然使人討厭，但它不能用來運行惡意代碼，也就是說沒法利用它來運行惡意軟件，也沒法經過這種方式來盜取數據。但目前沒有簡單的方法能夠防止***發生。只要單擊連接或打開 HTML 電子郵件，這段代碼就會讓設備崩潰。
Haddouche 向蘋果公司報告了這個漏洞，蘋果公司表示正在調查中，尚未發言人就此事發表評論。
這裏給出帶有這段代碼的網頁連接，有好奇心的人在單擊連接以前請慎重考慮：https://t.co/4Ql8uDYvY3。
下面是這段代碼的 GitHub 連接：
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea
打開這個 GitHub 頁面，能夠看到代碼以下：

上面紅色部分是一張通過 base64 編碼的圖片，下面是不少<div>標籤。正如 Haddouche 所說，就是利用了在過濾器屬性中嵌入大量 HTML 元素標籤來消耗設備的資源，從而達到***的目的。