Уязвимость 18-летней давности «0.0.0.0» преследует интернет-браузеры

Спустя 18 лет уязвимость «0.0.0.0-day» в интернет-браузерах MacOS и Linux, похоже, наконец-то исчезла. Google и Safari закрыли утечку.

Это было Олиго Секьюрити В апреле это стало сигналом тревоги по поводу «0.0.0.0-дня» — уязвимости в браузерах. Уязвимость затрагивает почти все браузеры, особенно уязвимы MacOS и Linux. Злоумышленники могут использовать уязвимость для удаленного изменения настроек, просмотра защищенной информации или даже выполнения кода.

18 лет

Google и Apple вмешались и закрыли уязвимость в движках Chromium и Safari. Для этого у них было достаточно времени: 0.0.0.day впервые была обнаружена в Firefox в 2006 году, а первый публичный отчет был опубликован в 2008 году. Однако уязвимость оставалась открытой все эти годы, пока на нее снова не обратили внимание ранее. в этом году.

Уязвимость использует отсутствие единообразия между браузерами по IP-адресу 0.0.0.0. Это «пустой» IP-адрес, который общедоступные веб-службы могут использовать для связи со службами локальной сети. 0.0.0.0 представляет все IP-адреса, связанные с локальной сетью. Поскольку IP-адрес можно использовать бесплатно, злоумышленники могут подключиться к локальным серверам с вредоносного веб-сайта.

Спустя 18 лет Google и Apple решили, что с них достаточно, и закрыли утечку версии 0.0.0 выпуском обновления. После обновления адрес больше не может использоваться внешними сайтами. Firefox не предпринимает немедленных действий, опасаясь проблем с совместимостью, но обещает найти решение.