回归最本质的信息安全

;

一个链接就能让iPhone手机崩溃……

2018年1月20日发布

62,439
1
9

导语:chaiOS漏洞与2015年的Effective Power文本炸弹类似,可以使苹果系统iMessage应用奔溃,同时受影响的还有Windows系统,Chrome系统以及Firefox浏览器等。

2015年iOS爆“Effective Power”漏洞,一条特殊字符的信息就能让用户的iPhone无限次重启。

Cg-4WVVup_2IEjfeAAIVz1pxGuIAAElPAEWKQUAAhXn684.jpg

现在macOS和iOS又爆出一个chaiOS漏洞,与Effective Power漏洞有相同的作用。

chaiOS漏洞

chaiOS是黑客Abraham Masri发现的消息炸弹(text bomb)漏洞,消息的接收者可以让iMessage应用崩溃,进入重启无限循环状态。

用户需要做的就是发送一个含有JS代码的web页给用户,JS代码会尝试发送SMS短信。这听起来好看很简单,而且没有什么恶意。但是iMessage应用在处理这些代码时就可能会奔溃,并进入重启循环状态。

图片.png

如何利用该漏洞使iPhone崩溃?

打开iMessage应用;
选择被攻击的iPhone;
发送恶意链接给该设备,在最后加上“/”;
当用户在该Safari中打开该链接时,iPhone就会奔溃重启。

漏洞影响iOS、macOS、Windows系统和应用

截至日前,安全专家并没有指出chaiOS漏洞的起因,与Effective Power漏洞不同的是,chaiOS可以在iOS、macOS和Windows系统上运行。

Yalu Jailbreak的专家说,该漏洞会影响macOS High Sierra, iOS 10到10.3.3, 和iOS 11到11.2.1上的iMessage应用。如果在Windows主机中打开该链接,Chrome和Firefox浏览器也会奔溃。

受影响的系统和应用:

macOS Sierra
iOS 10-10.3.3
iOS 11-11.2.1
Windows
ChromeOS
Chrome
Firefox

POC

POC视频:www.youtube.com/embed/xOG5I7IeB1k

本文翻译自:https://www.bleepingcomputer.com/news/apple/chaios-text-bomb-crashes-imessage-app-on-macos-and-ios/ ,如若转载,请注明原文地址: http://www.4hou.com/info/news/10025.html

点赞 9
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

ang010ela

这个人很懒,什么也没留下

发私信

发表评论

    lubaijun9 2018-01-20 20:32

    大牛您好,能不能帮我一下,有个问题我没有能力解决,困扰我一个周了,希望您抽出几分钟看看值不值得帮忙,Q594946526,email13732909685@163.com