Apple исправит 18-летнюю ошибку «0.0.0.0» в браузере Safari

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com
| Новость | ИИ, сервисы и приложения

Дефект в системе безопасности, который почти 20 лет использовался хакерами для получения доступа к внутренним сетям, наконец-то будет исправлен компанией Apple в следующей версии macOS. Исследователи из Oligo Security, обнаружившие уязвимость, получившую название «0.0.0.0-day», представят ее в эти выходные на конференции DEF CON.

Safari, Chrome и Firefox затронуты дефектом, который заключается в том, как они обрабатывают запросы к IP-адресу 0.0.0.0. Вместо того чтобы блокировать их, браузеры перенаправляют их на другие IP-адреса, включая «localhost», который часто используется в качестве внутреннего тестового сервера.

Автор: Quaritsch Photography Источник: unsplash.com

Таким образом, хакеры имеют возможность посылать вредоносные запросы на 0.0.0.0, чтобы иметь доступ к частным файлам и данным в сети своей жертвы. «Код разработки или внутренние сообщения могут быть немедленно восстановлены», — объясняет Ави Люмельски, исследователь из Oligo. «Но что еще более важно, эксплуатация 0.0.0.0-day позволяет взломщику получить доступ к внутренней частной сети жертвы, открывая широкий спектр векторов атак».

Oligo ответственно сообщила о дефекте компаниям Apple, Google и Mozilla. Компания из Купертино подтвердила Forbes, что будет блокировать все попытки сайтов получить доступ к 0.0.0.0, начиная с бета-версии macOS Sequoia. Google планирует сделать то же самое в грядущем обновлении Chrome.

Mozilla более неохотно идет на это, поскольку блокировка 0.0.0.0 может нарушить работу некоторых серверов, использующих этот адрес в качестве замены localhost. «Введение более строгих ограничений сопряжено со значительным риском возникновения проблем совместимости», — заявил представитель Mozilla. Поэтому Firefox пока не будет применять это исправление.

Тем не менее, исследователи Oligo утверждают, что риск оставить эту дверь открытой очень велик. «Разрешая 0.0.0.0, вы фактически разрешаете все то, что блокировали годами», — говорит Гал Эльбаз, соучредитель Oligo. По его словам, этот недостаток позволяет обходить брандмауэры и другие средства защиты сети.

Источник: forbes

Автор не входит в состав редакции iXBT.com (подробнее »)
Об авторе
Интересуюсь технологиями и рассказываю о них вам.
0 0 973 0
Автор dima0782 ПА Рейтинг +578.50
Блог ИИ, сервисы и приложения 668 4274 RSS
Не упускай интересное! Подпишись на нас в ВК и Telegram.

0 комментариев

Добавить комментарий

Сейчас на главной

Новости

Публикации

Независимые эксперименты окончательно опровергли утверждение об обнаружении тёмной материи на Земле

Около 27 процентов всей массы и энергии во Вселенной приходится на темную материю. Она не испускает света, не отражает его и не участвует в электромагнитном взаимодействии. Единственный способ,...

Закон Вурхиза: физики объяснили, почему обгонять медленные машины в городе абсолютно бессмысленно

Вы нажимаете на газ, резко перестраиваетесь и с чувством глубокого удовлетворения оставляете тихохода позади. Всего пара рискованных маневров — и вы выигрываете драгоценные секунды. Но...

Пещера Вайтомо: почему в ней запрещено использовать фонари и другие источники света

В изучении пещер фонарик: лучший друг, главный помощник и штатный спасатель от сотрясений мозга, вызванных падениями в темноте. Короче, без него в пещеру лучше не соваться, если вы не видите в...

Пять лет назад мы потеряли смартфоны LG: история падения главного конкурента Samsung

Когда-то давно эти смартфоны вовсю конкурировали с Samsung и занимали своё место в списке А-брендов. Именно они первыми предложили 2 ГБ оперативной памяти, вытянутый экран и ультраширик в качестве...