Beveiligingsonderzoeker laat iOS crashen met css-code

Maakt op zich niet uit, het gaat bij resource exhaustion niet perse om de libraries, het OS of de initiator, maar als je je op bepaalde architectuur richt kan CPU en/of GPU instructie-specifieke code al voldoende zijn.

Een klassiek publiek timesharing UNIX systeem (klassiek a la 1990-2018) kan je prima om zeep helpen door bijv. 10000000 lege bestanden aan te maken per ±128GB disk storage met default FS block sizes, dan kan je puur met inode exhaustion je systeem platleggen. Wat daar tegen helpt is per-user inode limits, of losse mounts. Softlimits en storage quotas werken daar niet bij, en handle limits, chroots, jails en containers met mounts ook niet, want die gaan over size en niet over nodes.

Daar is dan wel weer aan te sleutelen, maar als je je bedenkt dat dit alleen al een enkel aspect is wat in theorie 'simpel' op te lossen zou moeten zijn is het waarschijnlijk al wel een stuk duidelijker dat het erg moeilijk is om te voorkomen dat een user space unprivileged binary een DoS op het lokale systeem veroorzaakt.

Een ander voorbeeld kan zijn dat als je genoeg weet over de GPU die je transformaties gaat uitvoeren, dat je bijv. een shader maakt die op de GPU recursief gaat uitvoeren. Dan kan je met minimale code een gigantische workload veroorzaken. Dan moet je bijna just-in-time statische analyse gaan doen wil je dat voorkomen. Daarom werden/worden veel low-level API's verstopt achter higher level API's en ABI's waar libraries proberen te voorkomen dat dit gebeurt. Dat geldt dus ook voor hardware toegang en bijv. random memory mapped IO toegang voor random systeemadressen; die wil je eigenlijk ook verbannen om dat het een vieze oplossing is die vooral problemen veroorzaakt op systemen waar processen (en gebruikers) moeten samen werken. Dat is ook een van de redenen dat managed code runtimes en sandboxes populair zijn, in plaats van dat je alles crasht crash je in de meeste gevallen alleen jezelf. Maar de 'meeste gevallen' gaat hier ook weer over de gevallen die bekend zijn, niet de gevallen die niet bekend zijn. En stel dat er een miljoen gevallen zijn waarin het mis gaat, en je 8 ton afvangt, dan heb je nog steeds 2 ton gevallen waarin je wel een lokale DoS veroorzaakt.

In het geval van een lokale DoS door lokaal uitgevoerde code (zij het scripts, bytecode, runtime binaries of machine code) maakt het vaak niet uit hoeveel rechten je hebt. Je kan dus ook als gast op een systeem waar je alleen een browser mag gebruiken prima code uitvoeren die het systeem platlegt.

Wat deze WebKit bug + exploit betreft: de CSS filter draait onder water in de browser engine een set grafische transformaties af. Door de transformatie(s) zo op te zetten dat er heel veel resources voor een hele lange tijd nodig zijn kan je dus een (deel van het) systeem platleggen. En stel dat je een GPU plat kan leggen, dan kan een event loop ook niet verder als die synchroon op de GPU zit te wachten, en dan kan je UI niet verder. In principe zou een WDT dan een NMI kunnen aftrappen die SMM code start (SMM is dan weer x86 specifiek, maar ARM based SoCs hebben vast iets vergelijkbaars) die op zijn beurt een NMI handler in het OS kan aftrappen die voorrang heeft boven alles. Zo'n handler kan in het geval van iOS een respring doen (springboard herstart, eigenlijk de hele GUI en alles wat daar op loopt), maar als de handler op een manier opgebouwd is dat er eerst wat inspectie gebeurt voor dat er actie ondernomen wordt kan dat weer te lang duren waardoor de kernel softwarematig een panic start, bijv. onder het mom van 'unhandled NMI'.

[Reactie gewijzigd door johnkeates op 24 juli 2024 05:27]