首页
社区
课程
招聘
[分享]允许攻击者访问本地服务,影响所有主流浏览器的“0.0.0.0 Day”漏洞已存在18年之久
发表于: 2024-8-15 19:12 2005

[分享]允许攻击者访问本地服务,影响所有主流浏览器的“0.0.0.0 Day”漏洞已存在18年之久

2024-8-15 19:12
2005

近期,一个存在18年之久的浏览器漏洞“0.0.0.0 Day”被曝光,该漏洞影响所有主流浏览器,包括谷歌Chrome、苹果Safari和Mozilla Firefox,可允许攻击者绕过浏览器安全措施,入侵本地网络,执行恶意代码。



该漏洞由以色列网络安全公司Oligo Security的研究人员发现,它与浏览器处理网络请求的方式有关。简单来说,设备通过读取IP地址将用户连接到网站,0.0.0.0通常作为一个占位符,直到分配到真实的地址。但是,Oligo Security的研究人员在测试浏览器如何处理对不同IP地址的请求时发现,当浏览器向0.0.0.0发送请求时,请求会被重定向到localhost,这使得攻击者可以绕过安全机制,访问本地网络上的服务。



“0.0.0.0 Day”漏洞的根源在于不同浏览器之间的安全机制不一致,以及缺乏标准化,允许公共网站使用通配符IP 地址 0.0.0.0 与本地网络服务进行交互。由于浏览器在处理 0.0.0.0 地址的请求时存在缺陷,攻击者可以利用该漏洞执行恶意代码,窃取用户数据,甚而完全控制受影响的设备。


“0.0.0.0 Day”漏洞波及所有使用受影响浏览器版本的用户,特别是macOS和Linux用户。Windows用户由于操作系统层面的限制,不受此漏洞影响。

Oligo Security 已将该漏洞的发现报告给了相关的浏览器厂商,包括 Google、Apple 和 Mozilla。这些厂商已着手采取措施修复该漏洞。


Google将从 Chromium 128 开始阻止对 0.0.0.0 的访问,并将在 Chrome 133 中完成此过程。

Apple已经更改了其 WebKit 浏览器引擎以阻止对 0.0.0.0 的访问,并将在新的 macOS 版本中引入此更改。

Mozilla已经更改了 Fetch 规范以阻止 0.0.0.0,并且在未来的某个时间点,Firefox 将阻止 0.0.0.0且不依赖于 PNA 的实现。


用户对此可以采取的措施有:尽快将浏览器更新到最新版本,以获取最新的安全补丁;避免访问不信任的网站,尤其是在使用公共Wi-Fi时;安装一些可帮助阻止恶意请求的浏览器插件。对于开发者来说,在开发应用程序时,应遵循最佳安全实践,例如添加授权和CSRF令牌,即使应用程序只在本地运行。



编辑:左右里

资讯来源:Oligo Security

转载请注明出处和本文链接


[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
w2w
2
2024-8-16 14:56
0
游客
登录 | 注册 方可回帖
返回
//