[Netzwelt] Exploit in CSS entdeckt

Russische "Hacker" sind auf einen CSS Exploit gestoßen, der ähnlich wie die "Zip-Bombe" funktioniert. Durch das Setzen verschiedener Einheiten und anschließendem Berechnen der jeweiligen Variablen führt dies zu einem exponentiellem Anstieg an Berechnungen und Browserabsturz aufgrund von Speichermangel. Betroffen sind alle Browser die auf Webkit/Blink, Gecko basieren und der Edge, der Internet Explorer, ist zu alt um die neuartigen CSS Features zu verstehen.

Durch diesen Exploit ist es u.a. möglich Seiten wie Tumblr, LiveJournal oder auch Wikipedia zu manipulieren und die Websites unbrauchbar zu machen. Theoretisch können auch MailClients zum Absturz gebracht werden, jedoch müssen diese auch die modernen CSS Features unterstützen. Erfolgreich wurde dies z. B. bei der Samsung Mail App auf Android getestet. Andere Mailclients wie Outlookweb, G-Mail etc. sind immun gegen diesen Exploit. Wie genau der Exploit funktioniert wurde unter

You do not have permission to view link please Anmelden or Registrieren

genau beschrieben.

Quelle:

You do not have permission to view link please Anmelden or Registrieren

Bild: Eigener Screnshot

 

[dexter]

Komplexes Programmieren mit CSS-Regeln ... wenn uns nur jemand gewarnt hätte!?