[Перевод] CraSSh: ломаем все современные браузеры вычислениями в CSS
Не хочу читать эту техническую болтовню. Просто повали уже мой браузер.
CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.
CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:
На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
На движке Gecko — Firefox и его форки, такие как Tor Browser.
Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)
Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).
Читать дальше →
Что такое CraSSh
CraSSh — это кроссбраузерная чисто декларативная DoS-атака, основанная на плохой обработке вложенных CSS-функций var() и calc() в современных браузерах.
CraSSh действует во всех основных браузерах на десктопах и мобильных устройствах:
На движке WebKit/Blink — Chrome, Opera, Safari, даже Samsung Internet на смарт-телевизорах и холодильниках.
Android WebView, iOS UIWebView также затронуты, то есть можно обвалить любое приложение со встроенным браузером.
На движке Gecko — Firefox и его форки, такие как Tor Browser.
Servo не запустился ни на одной из моих машин, поэтому я его не протестировал.
На движке EdgeHTML — Edge в Windows, WebView в приложениях UWP (их вообще кто-нибудь использует?)
Браузер IE не затронут, поскольку он не поддерживает функции, на которых основана атака, но у его пользователей немало своих проблем (вероятно, этот браузер можно порушить другими способами — прим. пер.).
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Per-user OAuth для MCP-серверов: Keycloak, n8n и Telegram-бот через один Auth Proxy
- Product Radar: Сервис для поиска англицизмов, шаблоны сайтов на Tilda и ещё 8 российских стартапов
- Телевизор как витрина: Почему Ozon и Wildberries до сих пор не захватили ваш диван
- Summ3r 0f h4ck 2026: стажировка в DSEC by Solar
- MAX и метка Spyware в Cloudflare: что это значит и к чему может привести
- Анализ защищенности 15 лет спустя. Акт первый
- E+ Awards 2026 назвал самые эффективные маркетинговые проекты в России и Центральной Азии
- [Перевод] Стратегия резервного копирования 3-2-1: технический разбор
- Фишинг в 2026: как ИИ и дипфейки изменили методы атак, но не изменили способы защиты
- Кастомные вордлисты для самых маленьких