Un chercheur en sécurité vient de découvrir une faille CSS dans le WebKit d’iOS et de MacOS. Celle-ci provoque un bug faisant planter Safari et redémarrant les iPhone lançant le code.
Si vous possédez un iPhone ou un ordinateur sous MacOS, faites attention aux liens sur lesquels vous cliquez ces prochains jours, ils pourraient s’avérer embêtants. Un chercheur en sécurité du nom de Sabri Haddouche vient en effet de découvrir une faille CSS qui fait planter le moteur de rendu WebKit sur iOS et MacOS.
Documentée sur GitHub, cette faille utilise les propriétés CSS webkit-backdrop-filter. « En utilisant des div imbriqués avec cette propriété, nous pouvons rapidement consommer toutes les ressources graphiques et bloquer le système d’exploitation » explique le chercheur à BleepingComputer. Résultat : un iPhone lançant cette page redémarre tandis que Safari sur MacOS freeze et nécessite un arrêt forcé de l’application.
Précisons que cette attaque ne contient pas de JavaScript et peut donc être chargée nativement dans les applications de Mail, ce qui risque d’amuser un certain nombre de petits malins. Attention donc pendant les prochains jours aux liens sur lesquels vous cliquez.
Les tests effectués montrent que ce bug affecte un grand nombre de versions d’iOS. Par ailleurs, nous avons essayé d’ouvrir le lien avec Firefox sur un iPhone X, mais le navigateur utilisant obligatoirement le WebKit Apple, l’effet reste le même.
Notons par ailleurs qu’un exploit similaire est possible sur Chrome (et donc Android), avec une ligne JavaScript ce coup-ci. Celui-ci a été mis à jour par le même chercheur une semaine plus tôt :
Quel que soit votre téléphone ou votre navigateur, ne cliquez pas n’importe où. Et si vous souhaitez encore plus vous protéger, n’hésitez pas à lire nos 9 conseils de sécurité sur Android.
Pour aller plus loin
9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
Ca c'est parce que les dernières versions de Chrome sandbox les onglets séparément. A la base c'est pour bloquer les attaques Spectre et Meltdown, mais ça marche pour ça aussi.
c'est fou ça, cela fait 5 commentaires que je veux faire sur cet article et cela fait 5 fois que je me fais censurer... FrANdroid est basé en Corée du Nord maintenant ?
ça tombe bien, je me suis arrêté à un ipad.
C'est la honte tout de même.
Un titre qui parle de iOS sur un blog Android, tout ça pour lire dans l'article que la même existe sur Android avec Chrome... C'est même plus faire le trottoir chez FrAndroid...
On nous le dit toujours
Plus qu'à migrer sous Windows Phone 8.1. Le seul OS stable que plus personne ne s'amuse à faire planter avec des SMS ou des adresses Web...
Impossible! iOS est LE système le plus sécurisé au monde. En tout cas c'est ce que je lis constamment dans les commentaires
On nous le dit toujours
Entre bugs et failles, elle est loin l'époque où on nous disait qu'iOS est sûr et performant...
L'intégration de Safari dans iOS et macOS rappelle un peu les grandes (mauvaises) heures d'IE6 et Windows XP !
J'ai cliqué avec Chrome sur le lien qui concerne Chrome. Ok ça bloque. Clic pour fermer l'onglet et on en parle plus.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix