Un investigador en seguridad llamado Sabri Haddouche, que trabaja para la empresa desarrolladora de la aplicación de mensajería instantánea cifrada Wire, ha publicado una prueba de concepto (disponible en GitHub) que consiste en una página web con un exploit construido con tan solo unas cuantas líneas de CSS y HTML. Si dicha página web es visitada desde iOS o macOS (ambos sistemas comparten tecnologías), se provoca un kernel panic y un reinicio del dispositivo.
Siendo más precisos, lo que ha descubierto el investigador ha sido una debilidad en el motor de renderizado web WebKit, el cual es desarrollado principalmente por la propia Apple. El exploit es ejecutado debido a que el motor de renderizado falla a la hora de manejar correctamente múltiples elementos como diversas etiquetas div dentro de una propiedad de filtro en CSS, provocando el kernel panic. Sin embargo, la cosa podría ser incluso todavía más grave, ya que según pruebas realizadas por The Hacker News, el fallo también es explotable desde otros navegadores como Chrome (aunque no mencionan nada de Firefox sobre macOS). En iOS el asunto queda más acotado al forzar Apple en todos los navegadores alternativos la utilización del WebKit incluido por defecto para Safari. No se ha conseguido reproducir el problema en Windows ni Linux.
Tras reportar Sabri Haddouche el fallo a Apple, la compañía se ha limitado a decir que lo está investigando para corregirlo. Por otro lado, este no parece ser el único problema con el que tiene que lidiar el gigante de Cupertino en cuanto a procesamiento de páginas web se refiere, ya que la semana pasada se desveló una vulnerabilidad que abría la puerta ataques de phishing sofisticados.
Fuente: muyseguridad
