DoS-aanval op iPhone veroorzaakt geheugenlek

Volgens beveiligingsbedrijf SecurityFocus lopen iPhone-bezitters risico op een DoS-aanval als ze met de Safari-browser kwaadaardige websites bezoeken. Door een geheugenlek loopt de iPhone daarbij vast.

iPhone-bezitters kunnen te maken krijgen met een Denial of Service-aanval via de Safari-browser. Schadelijk voor de iPhone is het op dit moment nog niet, maar het kan wel irritatie veroorzaken: de DoS-aanval houdt alle systeemgeheugen bezet, waardoor het toestel langzamerhand vastloopt. Volgens beveiligingsfirma SecurityFocus kan de aanval alleen gebeuren wanneer je in Safari een webpagina bekijkt, waarin een kwaadaardig stuk JavaScript aanwezig is.

Zo’n webpagina bevat code, die voortdurend het systeemgeheugen ‘opeet’ totdat er kernel panic optreedt. Nadat eerder al een trojan voor de iPhone uitkwam, die zich voordeed als updatesoftware, werd al voorspeld dat er meer beveiligingsproblemen voor de iPhone zouden opdruiken. Volgens SecurityFocus doet het probleem zich alleen voor bij iPhones met firmware 1.1.2. Op een kwaadaardige website slurpt het zoveel mogelijk geheugen op waarna de iPhone vastloopt – op het eerste gezicht niets ernstigs, maar het beveiligingsbedrijf vreest dat in de nabije toekomst op dezelfde manier kwaadaardiger code uitgevoerd kan worden.

Er is nog geen oplossing beschikbaar: Apple weigert commentaar, maar is wel de partij die de oplossing moet leveren. Dat kan nog wel even duren, gezien het feit dat er tussen twee firmware-update behoorlijk wat tijd verstrijkt. We hopen daarom maar op een tussentijdse fix. De code die de kwetsbaarheid veroorzaakt is online te vinden. Voor een live-demo die je op je eigen iPhone kunt uitproberen, kun je hier terecht. Wat het echter beangstigend maakt, is dat de JavaScript-code door elke gek in een webpagina geplakt kan worden.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 27 januari 2008, 11:18
Categorie Achtergrond
Onderwerpen firmware, javascript

Reacties zijn gesloten voor dit artikel.