Сайт CrashSafari.com отправляет айфоны в перезагрузку

    Предупреждение: не заходите на этот сайт без подготовки




    В последние пару дней в социальных сетях начала распространяться ссылка на сайт CrashSafari.com, который подвешивает браузер Safari и отправляет телефон iPhone в перезагрузку. Этим его вредоносное действие не ограничивается: попытка открыть сайт на десктопе тоже может привести к зависанию системы, например, в браузере Chrome под Windows 7.

    Такая же техника перезагрузки браузера действует на сайте CrashChrome.com. В этом случае уязвим браузер Chrome под Windows, Mac, iOS и Android.

    Особенно опасно, что в твиттере и в других социальных сетях можно опубликовать сокращённый линк на CrashSafari.com, пропущенный через сокращалку ссылок вроде Bit.ly.


    CrashSafari.com отправляет в адресную строку браузера бесконечную строку символов, вызывая проблему с утечкой памяти. Устройства под iOS уходят в перезагрузку через 15-20 секунд.

    Есть идентичный сайт CrashChrome.com. В обсуждении проблемы на форуме разработчиков Chrome известный специалист Микко Хиппонен из компании F-Secure пояснил, что crashsafari.com и crashchrome.com на самом деле эксплуатируют функцию обращения к истории посещённых страниц history.pushState().

    for(var i = 0; i<1000000; i++){
        history.pushState(null,'','');
    }

    crash.html

    Баг эффективен в том числе на последних версиях iOS, а также в браузерах Chrome и Firefox.

    Вообще-то, сайт работает около года, но именно на прошлой неделе ссылку начали активно распространять различные шутники в социальных сетях. Так что будьте осторожны!


    По информации Wired, сайт CrashSafari.com запустил 22-летний специалист по безопасности Мэтью Брайант (Matthew Bryant) из Сан-Франциско, чисто в качестве шутки.

    Компания Apple в курсе проблемы и активно работает над патчем.
    Поделиться публикацией
    Комментарии 23
      0
      Интересный метод «подчистить» историю )))
      P.S. Chrome и IE 11 под Windows 7 повешались, Firefox под Ubuntu подумал и завершил обработку скрипта. Safari на аирбуке повешался…
        0
        Аналогично. С огнелисом только под линуксом так или в виндовой версии такое же поведение?
          0
          На Windows аналогичное поведение, Firefox подвисает, а через примерно минуту предлагает прервать исполнение скрипта.
        0
        Firefox на Mint и на nexus 5 просто остановил выполнение скрипта, но ссылки однако длиннющие в истории :)
        А вечная рекурсия так не будет крашить устройства?
          0
          будет если без setTimeout сделать

          Интересно — а если запустить это в вебворкере тоже повесится?
          0
          Из вконтакте уже перейти нельзя, блокирует ссылку (по крайней мере с обычной версии сайта)
            –21
            Ещё раз о том, почему скрипты в браузере лучше по умолчанию отключать.
              +9
              Да, изображения тоже отключить. Заодно и трафик сэкономите!
                –17
                Всем заминусовавшим желаю весёлых крашей, перезагрузок, эксплойтов и уязвимостей. Кликайте на все ссылки подряд, соглашайтесь со всеми загрузками, установками, не экономьте траффик.
                  +1
                  ну для этого есть мозги, а если их нет, то тут уж ничем не поможешь…
                    0
                    Как мозги помогут в том случае, если вы впервые заходите на неизвестный для вас сайт, и тут он сразу начинает выполнять у вас какой-то скрипт?
                +3
                В обсуждении проблемы на форуме разработчиков Chrome известный специалист Микко Хиппонен из компании F-Secure высказал мнение, что crashsafari.com и crashchrome.com на самом деле эксплуатируют функцию обращения к истории посещённых страниц history.pushState().
                высказал мнение
                ВЫСКАЗАЛ МНЕНИЕ

                В мире ализарчика получить код страницы можно через вебкит-подобный браузер?
                  +1
                  wget crashsafari.com

                  Ну и для ленивых:
                  <!DOCTYPE html>
                  <html>
                      <body>
                          <h1>What were you expecting?</h1>
                          <script>
                              (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
                                      (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
                                      m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
                                      })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
                  
                                      ga('create', 'UA-60737367-1', 'auto');
                                      ga('send', 'pageview');
                                  </script>
                                  <script>
                                      var total = "";
                                      for( var i = 0; i < 100000; i++ ) {
                                          total = total + i.toString();
                                          history.pushState(0,0, total );
                                      }
                                  </script>
                              </body>
                          </html>
                  
                  
                  +4
                  Айфон, кстати, не перезагружается — перезагрузка айфона длится очень долго, и после перезагрузки не работает разблокировка через Touch ID, а тут всего несколько секунд — это respring, «иксы падают», перезапуск графической оболочки.
                    +2
                    EDGE на Windows 10 показал надпись «What were you expecting?». Зависаний и вылетов не замечено. И в адресной строке абракадабра. Приятно удивлен.
                      0
                      На Windows 10 Mobile аналогично.
                        +1
                        Так же на Windows Phone 8.1 в IE и UC Browser
                      0
                      в мае того года перезагружали айфоны от арабской смс, теперь новый метод…
                      и все бестолку… На меня не действует ни арабская смс, ни эти сайты.
                      iOS 7.1.2 (11D257) — что со мной не так?
                      Chrome 42.0.2311.47
                      image

                      Safari отчаянно пытается открыть страницу, не крашит, а просто долго грузит.
                      И даже что-то получается

                        +2
                        что со мной не так?
                        Chrome 42.0.2311.47

                        Может у вас нет Интернета, просто? :)
                          0
                          оценил шутку, но нет, с ним все впорядке :)
                        0
                        Arch Linux, Chromium 47 конкретно так завис, через минуту вкладка ответила на Ctrl+W и закрылась.
                          0
                          Разве то, что браузеры можно задосить, вообще является новостью?
                            0
                            CrashChrome.com Хром под Вин10 начал что-то тупить, секунд через 10 отреагировал на Ctrl+W. Совсем ничего критичного.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое