Un ricercatore indipendente ha scoperto una lacuna nel motore di rendering WebKit utilizzato da Safari oltre che in molteplici applicazioni per iOS e macOS (Mail compresa) che può completamente bloccare il browser e, in alcuni casi, bloccare addirittura il sistema operativo Apple.
Il codice offensivo è costituito da una semplice riga JavaScript e, in particolare, da un ciclo for
congegnato “ad arte”.
Il problema, spiegano gli esperti, non è da sottovalutare perché WebKit – com’è noto – è il motore che tutte le applicazioni autorizzate ad essere installate sui sistemi Apple possono esclusivamente utilizzare. Con un’unica riga di codice, quindi, eventuali aggressori possono causare problemi su una vastissima schiera di app.
Sabri Haddouche, l’autore della scoperta, spiega che il trucco consiste nell’utilizzare tantissimi div nidificati, tutti richiamati all’interno dello stesso ciclo infinito, via JavaScript. Le risorse hardware disponibili vengono così rapidamente impegnate nella loro completezza portando a comportamenti anomali come il blocco del browser, del sistema operativo o il riavvio del dispositivo.
— Sabri (@pwnsdx) 15 settembre 2018
Haddouche ha anche aggiunto che l’attacco può iniziare semplicemente visitando una pagina web oppure con la ricezione di un’email.
I tecnici di Apple stanno al momento verificando la problematica ma non hanno ancora comunicato quando essa verrà risolta.