Een beveiligingsonderzoeker heeft een kwetsbaarheid in iOS en macOS gevonden, waarbij de systemen vastlopen en opnieuw opstarten bij het aanklikken van een link.

De kwetsbaarheid is te misbruiken met een simpele css-code, meldt onderzoeker Sabri Haddouche op Twitter.

CSS is een van de belangrijkste basistechnieken van het internet. Sites vertellen met hun css-bestand aan browsers hoe de site eruit moet zien, bijvoorbeeld welke kleuren en lettertypes waar gebruikt moeten worden.

Haddouche geeft in zijn css-bestand opdracht om een relatief nieuwe css-eigenschap te gebruiken. Daarbij wordt de achtergrond van een site vaag gemaakt, of lopen kleuren in elkaar over.

Apple onderzoekt de kwetsbaarheid

Die eigenschap blijkt vooral voor iOS te zwaar: door de browser een opstapeling van de nieuwe css-eigenschap aan te bieden, loopt het grafische geheugen van de telefoon vol en krijgt het systeem een zogenoemde kernel panic. Het iOS-apparaat loopt dan vast en start opnieuw op. Na het opstarten werkt het apparaat echter als voorheen.

Mac-besturingssysteem macOS heeft ook last van de kwetsbaarheid. Daar loopt echter enkel een browsertab kort vast, het volledige systeem blijft draaien.

Een aangepaste versie van de css-code kan er volgens Haddouche wel voor zorgen dat een Mac volledig vastloopt. Na het opnieuw opstarten wordt de pagina automatisch opnieuw ingeladen, waarna de Mac keer op keer vastloopt en onbruikbaar wordt. De onderzoeker heeft die css-code dan ook bewust niet openbaar gemaakt, zegt hij tegen ZDNet.

De onderzoeker heeft Apple van de kwetsbaarheid op de hoogte gesteld voordat hij die openbaar maakte. Het bedrijf onderzoekt de kwetsbaarheid.