特別に細工されたウェブページにより、iOS および macOS 上の Apple のメッセージおよび Safari ソフトウェアが破壊され、悪意のある人物がファンにその卑劣な HTML へのリンクをテキスト メッセージで送信して、楽しい悪事を広めることができるようになります。
このページは、Macのテキストエディットなど、他のプログラムも開くとハングアップする原因となります。これは、OSのフォントレンダリングコードを混乱させる文字が詰め込まれているためと考えられます。その結果、アプリケーションが永久にハングアップしたり、自動的に終了したりします。
iGiantの表示コードにおけるプログラミングミスは、前述のウェブページの注記によると、「titleプロパティに大量の合字を含む巨大な文字をオーバーロード」したことが原因のようです。これにより、レンダリングルーチン、またはそれに関連するコンポーネントが無限ループに陥り、応答しなくなるようです。その結果、ソフトウェアが動作しなくなるという事態に陥ることになります。
この巧妙な HTML のコピーやミラーはいくつか Web から削除されていますが、執筆時点では でコピーを見つけることができますhxxxp://cydia.furcode.co/chaiOS2。完全に自己責任で開いてください。
重要なのは、被害者が攻撃を開始するためにリンクを明示的にクリックしたりタップしたりする必要がない場合があることです。例えば、URLを友人にテキストメッセージで送信し、友人のメッセージアプリが自動的にURLを取得してプレビューを表示した場合、ゲームオーバーです。HTMLがレンダリングされ、コードが乗っ取られます。
この不正なスクリプトは、どうやらTwitterでCheeseCakeUFOとしても知られるAbraham Masri氏の作品のようで、同氏はこれをバグの概念実証デモとしてオンラインで共有した。
バン...メッセージ、Safariなどでそのリンクをクリックすると、デバイスが壊れてしまいます
このスクリプトは、サービス拒否以上の攻撃を実行できるとは考えられておらず、たとえば任意のコードの実行を引き起こすことはありません。
「これは、コンピュータからデータが盗まれたり、悪意のあるハッカーがファイルにアクセスできるようになるといったことにつながるものではなく、むしろ迷惑なものだ」と、情報セキュリティの専門家でMac愛好家のグラハム・クルーリー氏は今週のブログ投稿で述べた。
Appleのソフトウェアに影響を与えるテキスト爆弾型の脆弱性は稀ですが、前例がないわけではありません。例えば、2015年には、「Effective Power」と呼ばれる文字列がiPhoneを再起動させるという脆弱性が発見されました。同様の脆弱性は2013年にもありました。
Apple 社は、いたずら好きなユーザーが利用しやすいセキュリティホールを塞ぐパッチの開発に取り組んでおり、来週にはリリースされる予定だと聞いています。®
