Apple исправит 18-летнюю ошибку «0.0.0.0» в браузере Safari
Дефект в системе безопасности, который почти 20 лет использовался хакерами для получения доступа к внутренним сетям, наконец-то будет исправлен компанией Apple в следующей версии macOS. Исследователи из Oligo Security, обнаружившие уязвимость, получившую название «0.0.0.0-day», представят ее в эти выходные на конференции DEF CON.
Safari, Chrome и Firefox затронуты дефектом, который заключается в том, как они обрабатывают запросы к IP-адресу 0.0.0.0. Вместо того чтобы блокировать их, браузеры перенаправляют их на другие IP-адреса, включая «localhost», который часто используется в качестве внутреннего тестового сервера.
Таким образом, хакеры имеют возможность посылать вредоносные запросы на 0.0.0.0, чтобы иметь доступ к частным файлам и данным в сети своей жертвы. «Код разработки или внутренние сообщения могут быть немедленно восстановлены», — объясняет Ави Люмельски, исследователь из Oligo. «Но что еще более важно, эксплуатация 0.0.0.0-day позволяет взломщику получить доступ к внутренней частной сети жертвы, открывая широкий спектр векторов атак».
Oligo ответственно сообщила о дефекте компаниям Apple, Google и Mozilla. Компания из Купертино подтвердила Forbes, что будет блокировать все попытки сайтов получить доступ к 0.0.0.0, начиная с бета-версии macOS Sequoia. Google планирует сделать то же самое в грядущем обновлении Chrome.
Mozilla более неохотно идет на это, поскольку блокировка 0.0.0.0 может нарушить работу некоторых серверов, использующих этот адрес в качестве замены localhost. «Введение более строгих ограничений сопряжено со значительным риском возникновения проблем совместимости», — заявил представитель Mozilla. Поэтому Firefox пока не будет применять это исправление.
Тем не менее, исследователи Oligo утверждают, что риск оставить эту дверь открытой очень велик. «Разрешая 0.0.0.0, вы фактически разрешаете все то, что блокировали годами», — говорит Гал Эльбаз, соучредитель Oligo. По его словам, этот недостаток позволяет обходить брандмауэры и другие средства защиты сети.
Источник: forbes
0 комментариев
Добавить комментарий
Добавить комментарий