18-летняя уязвимость «0.0.0.0 Day» угрожает всем современным браузерам

2024-08-12 3856 комментарии
Исследователи выявили уязвимость «0.0.0.0 Day», существующую уже 18 лет и затрагивающую все современные браузеры. Она позволяет вредоносным сайтам взаимодействовать с локальными сервисами, обходя защитные механизмы браузеров

Исследователи безопасности раскрыли уязвимость, которая затрагивает все современные браузеры. Особую тревогу вызывает то, что эта уязвимость известна уже 18 лет, что относится к временам, когда Google даже не задумывался о создании Chrome.

Краткая сводка

  • Исследователи дали название проблеме безопасности «0.0.0.0 Day».
  • Уязвимость позволяет вредоносным сайтам взаимодействовать с сервисами, работающими в локальной сети.
  • Уязвимость может привести к несанкционированному доступу или атакам с выполнением удаленного кода на локальных сервисах из внешней сети.

Другими словами, данная уязвимость позволяет вредоносным сайтам обходить защитные механизмы браузеров. Защиты частной сети в Chromium и Firefox затронуты данной проблемой. Браузер Safari от Apple также был уязвим, но компания выпустила патч, блокирующий доступ к 0.0.0.0.

В публикации блога предоставлено техническое описание уязвимости. Также объясняется, почему реакция на нее заняла так много времени.

Исследователи обнаружили запись в багтрекере Mozilla, датированную 18 годами назад. В ней разработчики не были уверены, является ли выявленный баг проблемой безопасности, багом или вовсе отсутствием какой-либо проблемы.

Реакция от Google, Mozilla и Apple

Исследователи из компании Oligo сообщили об уязвимости командам безопасности крупных браузеров в апреле 2024 года.

  • Google: планирует заблокировать доступ, начиная с Chrome 128, и завершить внедрение патча в Chrome 133. Другие браузеры на базе Chromium также получат это обновление.
  • Apple: реализовала изменение, которое блокирует IP-адреса назначения, если все цифры в IP равны нулю.
  • Mozilla: исправление находится в процессе разработки. Firefox никогда не ограничивал доступ к частной сети. Разработчики планируют реализовать безопасный доступ к частной сети, но точной даты пока нет.

Исправления важны, но также важна стандартизация проблемы. По мнению исследователей безопасности, HTTP-запросы к 0.0.0.0 должны быть добавлены в стандарты безопасности.

Использование 0.0.0.0 в Интернете растет. Согласно данным, предоставленным Chromium, этот адрес используется 0,015% всех веб-сайтов, что соответствует примерно 100 000 публичных веб-сайтов, которые могут взаимодействовать с 0.0.0.0.

Злоумышленники могут использовать данную уязвимость в своих атаках. Oligo указывает, что недавняя атака на рабочие нагрузки ИИ под названием ShadowRay может быть выполнена через браузеры с использованием 0.0.0.0 в качестве вектора атаки.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте