Ces dernières années ont été l’occasion de découvrir plusieurs moyens pour faire planter un iPhone ou un iPad à l’aide d’un message (comme un iMessage). Aujourd’hui, une page où l’on retrouve simplement du HTML et du CSS provoque un Kernel Panic (c’est-à-dire un crash complet) sur les appareils mobiles d’Apple.

Démonstration du bug en vidéo

Sabri Haddouche, un chercheur en sécurité, a publié le code qui est composé de 15 lignes. Un effet particulier est appliqué sur chacune des balises <div> présentes dans le CSS. Dans l’exemple, il y a un nombre important de balises. WebKit, le moteur de rendu utilisé par Safari, n’arrive pas à combiner tous les effets, ce qui provoque un crash.

Le bug fonctionne sur tous les iPhone et iPad à partir d’iOS 7. Le bug existe aussi sur iOS 12. C’est ballot quand on sait que la version finale sera proposée demain au téléchargement. Soit Apple a préparé un correctif en urgence ce week-end et l’intégrera dans la version proposée demain. Si c’est le cas, ceux qui ont iOS 12 Golden Master auront une petite mise à jour faire. Soit Apple attendra et proposera iOS 12.0.1 plus tard avec le correctif dédié.

Ce bug est-il grave ? Oui et non. L’utilisateur doit volontairement cliquer sur un lien pour que son iPhone ou iPad crashe. Et même si ce cas se présente, son appareil va seulement redémarrer. Il faut toutefois espérer qu’Apple corrigera rapidement le tir.