Sabri Haddouche 在 GitHub 上發布了一個示例網頁，只有 15 行代碼，如果在 iPhone 或 iPad 上訪問這個頁面，就會崩潰並重啟。在 macOS 上使用 Safari 打開該頁面也會出現瀏覽器掛起，無法動彈。

這段代碼利用了 iOS Web 渲染引擎 WebKit 中的一個漏洞。Haddouche 解釋說，在 CSS 過濾器屬性中嵌套大量元素（如<div>），就會耗盡設備的資源，並導致內核崩潰，然後關閉並重新啟動操作系統。

Haddouche 說，“任何在 iOS 上渲染 HTML 的應用程序都會受到影響”。他警告說，任何人都可以通過 Facebook 或 Twitter 上向你發送鏈接，或者通過電子郵件發送鏈接，如果你打開了這些連接或者訪問了任何包含這段代碼的網頁，就會中招。

下面是 Haddouche 的推文截圖：

他在推文中給出了網頁鏈接和 GitHub 代碼鏈接，並事先給出警告，如果點了那個網頁鏈接後果自負。

經安全公司 Malwarebytes 的證實，最新的 iOS 12 測試版在單擊這個鏈接時也會發生掛起。

即使有些“幸運”的設備不會發生崩潰，也會重新啟動用戶界面。

好在這個***雖然令人討厭，但它不能用來運行惡意代碼，也就是說無法利用它來運行惡意軟件，也無法通過這種方式來盜取數據。但目前沒有簡單的方法可以防止***發生。只要單擊鏈接或打開 HTML 電子郵件，這段代碼就會讓設備崩潰。

Haddouche 向蘋果公司報告了這個漏洞，蘋果公司表示正在調查中，還沒有發言人就此事發表評論。

這裏給出帶有這段代碼的網頁鏈接，有好奇心的人在單擊鏈接之前請慎重考慮：https://t.co/4Ql8uDYvY3。

下面是這段代碼的 GitHub 鏈接：

https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

打開這個 GitHub 頁面，可以看到代碼如下：

上面紅色部分是一張經過 base64 編碼的圖片，下面是很多<div>標簽。正如 Haddouche 所說，就是利用了在過濾器屬性中嵌入大量 HTML 元素標簽來消耗設備的資源，從而達到***的目的。

這裏推薦一下我的前端學習交流群：731771211，裏面都是學習前端的，如果你想制作酷炫的網頁，想學習編程。從最基礎的HTML+CSS+JS【炫酷特效，遊戲，插件封裝，設計模式】到移動端HTML5的項目實戰的學習資料都有整理，送給每一位前端小夥伴，有想學習web前端的，或是轉行，或是大學生，還有工作中想提升自己能力的，正在學習的小夥伴歡迎加入。

點擊：加入

15行代碼讓蘋果設備崩潰，iOS 12也無法幸免