Mit „Safari-Reaper“ bezeichnet der Sicherheitsforscher Sabri Haddouche die von ihm entdeckte Schwachstelle der Rendering Engine „Webkit“. Dieser Fehler führt unter Umständen dazu, dass der Apple-Browser Safari abstürzt und dabei einen Neustart von iPhones und iPads auslöst.
Ein Benutzer muss dazu nur verleitet werden, eine Website zu besuchen, die seinen speziell präparierten CSS-Code enthält.
Der Softwareentwickler und Sicherheitsforscher arbeitet beim Herausgeber der Messaging-App Wire und nennt den CSS-Code, den er auf Twitter veröffentlicht hat, nicht besonders kompliziert.
Im Grunde ist das Backdrop-Filter eine Bokeh-Funktion
Der Code nutzt die relativ neue CSS-Funktion Backdrop-Filter, die die Bereiche hinter einem Element farblich verändern oder unscharf machen (Fotograafen nennen das Bokeh) soll. Weil dieser Vorgang unter Umständen reichlich Ressourcen verbraucht, wird vermutet, dass der Code letztlich die iOS-Grafikbibliothek überlastet, was dann zum Absturz des Betriebssystems führt.
Es trifft nicht nur Apples Browser Safari
Betroffen ist dabei aber nicht etwa nur Apples Browser Safari unter iOS. Auch die Mac-Version reagiert auf die von dem Forscher eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“
Wenn man dem veröffentlichten CSS/HTML-Code dann auch noch JavaScript hinzugefügt, ergebe sich eine Art DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“
Apple ist laut Haddouche über das Problem informiert: „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“
Chrome und Opera sind diesbezüglich sicher
Probleme erzeugt der Code auch mit Microsofts Browsern Edge und Internet Explorer 11. Edge bricht zum Beispiel den Ladevorgang dann mit einer Fehlermeldung ab.
Mit Chrome und Opera läuft der Code ohne Probleme. Warum einige Browser mit der Bokeh-Funktion nicht klarkommen, muss noch geklärt werden…
