网络安全研究员发现了一个 “0.0.0.0 Day” 漏洞，影响所有主流 web 浏览器，可被恶意网站用于攻陷本地网络。

以色列应用安全公司Oligo 的安全研究员 Avi Lumelsky 表示，该严重漏洞“在浏览器处理网络请求方式中暴露了一个根本性的漏洞，可能导致恶意人员访问在本地设备上运行的敏感服务。”

研究人员表示，该漏洞影响深远，它源自安全机制的实现不一致以及不同浏览器之间缺少标准化。因此，看似无害的IP地址如0.0.0.0可被用于利用本地服务，导致网络外的攻击者实现越权访问和远程代码执行。该漏洞据称在2006年左右就已存在。

该 0.0.0.0 Day漏洞影响使外部网站与在MacOS 和 Linux 上本地运行的软件进行通信的浏览器如谷歌 Chrome/Chromium、Mozilla Firefox 和苹果Safari。由于微软禁用操作系统层面的IP地址，因此Windows设备并不受影响。

具体而言，研究人员发现，使用以 “.com” 结尾的域名的公开网站能够与在本地网络上运行的服务进行通信，并可使用地址0.0.0.0而非本地主机/127.0.0.1在访客主机上执行任意代码。该漏洞还能够绕过私有网络访问 (PNA)，而PNA 正是为了禁止公开网站直接访问私有网络中的端点而设计。

在本地主机上运行且可通过0.0.0.0触及的任何应用都可能易受远程代码执行漏洞影响，包括本地 Selenium Grid 实例通过一个构造的payload将POST请求调度到 0.0.0[.]0:4444。网络浏览器应当完全拦截访问0.0.0.0，从而禁止从公开网络直接访问私有网络端点。

Lumelsky 表示，“当服务使用 本地主机 时，它们维持在一个受限的环境中，而这个假设可能是有问题的（如本漏洞所示），从而导致不安全的服务器实现。攻击者与 ‘no-cors’ 模式组合利用0.0.0.0，可利用公开域名攻击在本地主机上运行的服务，甚至执行任意代码，而这些只需一个HTTP请求即可。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~