Исследователи безопасности раскрыли уязвимость, которая затрагивает все современные браузеры. Особую тревогу вызывает то, что эта уязвимость известна уже 18 лет, что относится к временам, когда Google даже не задумывался о создании Chrome.
Краткая сводка
- Исследователи дали название проблеме безопасности «0.0.0.0 Day».
- Уязвимость позволяет вредоносным сайтам взаимодействовать с сервисами, работающими в локальной сети.
- Уязвимость может привести к несанкционированному доступу или атакам с выполнением удаленного кода на локальных сервисах из внешней сети.
Другими словами, данная уязвимость позволяет вредоносным сайтам обходить защитные механизмы браузеров. Защиты частной сети в Chromium и Firefox затронуты данной проблемой. Браузер Safari от Apple также был уязвим, но компания выпустила патч, блокирующий доступ к 0.0.0.0.
В публикации блога предоставлено техническое описание уязвимости. Также объясняется, почему реакция на нее заняла так много времени.
Исследователи обнаружили запись в багтрекере Mozilla, датированную 18 годами назад. В ней разработчики не были уверены, является ли выявленный баг проблемой безопасности, багом или вовсе отсутствием какой-либо проблемы.
Реакция от Google, Mozilla и Apple
Исследователи из компании Oligo сообщили об уязвимости командам безопасности крупных браузеров в апреле 2024 года.
- Google: планирует заблокировать доступ, начиная с Chrome 128, и завершить внедрение патча в Chrome 133. Другие браузеры на базе Chromium также получат это обновление.
- Apple: реализовала изменение, которое блокирует IP-адреса назначения, если все цифры в IP равны нулю.
- Mozilla: исправление находится в процессе разработки. Firefox никогда не ограничивал доступ к частной сети. Разработчики планируют реализовать безопасный доступ к частной сети, но точной даты пока нет.
Исправления важны, но также важна стандартизация проблемы. По мнению исследователей безопасности, HTTP-запросы к 0.0.0.0 должны быть добавлены в стандарты безопасности.
Использование 0.0.0.0 в Интернете растет. Согласно данным, предоставленным Chromium, этот адрес используется 0,015% всех веб-сайтов, что соответствует примерно 100 000 публичных веб-сайтов, которые могут взаимодействовать с 0.0.0.0.
Злоумышленники могут использовать данную уязвимость в своих атаках. Oligo указывает, что недавняя атака на рабочие нагрузки ИИ под названием ShadowRay может быть выполнена через браузеры с использованием 0.0.0.0 в качестве вектора атаки.
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания