Un chercheur en sécurité vient de découvrir une faille CSS dans le WebKit d’iOS et de MacOS. Celle-ci provoque un bug faisant planter Safari et redémarrant les iPhone lançant le code.

Crédit photo : Terje Sollie

Si vous possédez un iPhone ou un ordinateur sous MacOS, faites attention aux liens sur lesquels vous cliquez ces prochains jours, ils pourraient s’avérer embêtants. Un chercheur en sécurité du nom de Sabri Haddouche vient en effet de découvrir une faille CSS qui fait planter le moteur de rendu WebKit sur iOS et MacOS.

Documentée sur GitHub, cette faille utilise les propriétés CSS webkit-backdrop-filter. « En utilisant des div imbriqués avec cette propriété, nous pouvons rapidement consommer toutes les ressources graphiques et bloquer le système d’exploitation » explique le chercheur à BleepingComputer. Résultat : un iPhone lançant cette page redémarre tandis que Safari sur MacOS freeze et nécessite un arrêt forcé de l’application.

Précisons que cette attaque ne contient pas de JavaScript et peut donc être chargée nativement dans les applications de Mail, ce qui risque d’amuser un certain nombre de petits malins. Attention donc pendant les prochains jours aux liens sur lesquels vous cliquez.

Les tests effectués montrent que ce bug affecte un grand nombre de versions d’iOS. Par ailleurs, nous avons essayé d’ouvrir le lien avec Firefox sur un iPhone X, mais le navigateur utilisant obligatoirement le WebKit Apple, l’effet reste le même.

Notons par ailleurs qu’un exploit similaire est possible sur Chrome (et donc Android), avec une ligne JavaScript ce coup-ci. Celui-ci a été mis à jour par le même chercheur une semaine plus tôt :

Quel que soit votre téléphone ou votre navigateur, ne cliquez pas n’importe où. Et si vous souhaitez encore plus vous protéger, n’hésitez pas à lire nos 9 conseils de sécurité sur Android.

À lire sur FrAndroid : 9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)