logo

CSSベースの攻撃でiOSデバイスをクラッシュさせる恐れ--セキュリティ研究者が発見

Catalin Cimpanu (ZDNet.com) 翻訳校正: 中村智恵子 吉武稔夫 (ガリレオ) 編集部2018年09月18日 13時04分
  • このエントリーをはてなブックマークに追加

 「Safari」が使用するレンダリングエンジン「WebKit」に、「iPhone」および「iPad」に搭載されるOS「iOS」をクラッシュさせて再起動させる脆弱性があることを、あるセキュリティ研究者が発見した。

 この脆弱性は、特別に細工されたCSSコードを使用しているHTMLページを読み込むことで悪用できる。使われるCSSコードはそれほど複雑なものではないが、「backdrop-filter」として知られるCSSエフェクトを何重にもネスティングされたdiv要素に適用しようとする。

 backdrop-filterは比較的新しいCSSプロパティで、ある要素の背景にぼかしをかけたり色を変化させたりする。

 この脆弱性を発見した、ソフトウェアエンジニアでセキュリティ研究者のSabri Haddouche氏は現地時間9月15日、概念実証コードをTwitterで公開した。

 該当ツイートに記載されているリンクをクリックすると、iOSデバイスはクラッシュするという。また同ツイートには、今回の脆弱性を突くCSSのソースコードへのリンクも記載されている。さらにHaddouche氏は、自らのiPhoneをクラッシュさせる動画もツイートしている。

 Haddouche氏によると、この脆弱性はiOSを搭載したデバイスだけではなく、「macOS」を搭載したシステムにも影響を与えるという。

 同氏は米ZDNetに対して、「(CSS/HTMLのみによる)現状の攻撃により、Safariがしばらくの間フリーズした後、動作速度が低下するようになる」と述べた。「その後タブをクローズできるようになる」。同氏によるとmacOSの場合、JavaScriptを併用したコードに修正する必要があるという。

 同氏によると、この問題については実証コードをTwitterで公開した時点で、Appleに報告済みだったという。

 同氏は米ZDNetに対し、「Appleには、セキュリティ上の問題を報告するための同社の専用電子メールシステムを使って報告しており、同社からは報告を受け、調査中だという返信を受け取っていた」と述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]