该漏洞由以色列网络安全公司Oligo Security的研究人员发现,它与浏览器处理网络请求的方式有关。简单来说,设备通过读取IP地址将用户连接到网站,0.0.0.0通常作为一个占位符,直到分配到真实的地址。但是,Oligo Security的研究人员在测试浏览器如何处理对不同IP地址的请求时发现,当浏览器向0.0.0.0发送请求时,请求会被重定向到localhost,这使得攻击者可以绕过安全机制,访问本地网络上的服务。
“0.0.0.0 Day”漏洞的根源在于不同浏览器之间的安全机制不一致,以及缺乏标准化,允许公共网站使用通配符IP 地址 0.0.0.0 与本地网络服务进行交互。由于浏览器在处理 0.0.0.0 地址的请求时存在缺陷,攻击者可以利用该漏洞执行恶意代码,窃取用户数据,甚而完全控制受影响的设备。
“0.0.0.0 Day”漏洞波及所有使用受影响浏览器版本的用户,特别是macOS和Linux用户。Windows用户由于操作系统层面的限制,不受此漏洞影响。
Oligo Security 已将该漏洞的发现报告给了相关的浏览器厂商,包括 Google、Apple 和 Mozilla。这些厂商已着手采取措施修复该漏洞。
Google将从 Chromium 128 开始阻止对 0.0.0.0 的访问,并将在 Chrome 133 中完成此过程。
Apple已经更改了其 WebKit 浏览器引擎以阻止对 0.0.0.0 的访问,并将在新的 macOS 版本中引入此更改。
Mozilla已经更改了 Fetch 规范以阻止 0.0.0.0,并且在未来的某个时间点,Firefox 将阻止 0.0.0.0且不依赖于 PNA 的实现。
用户对此可以采取的措施有:尽快将浏览器更新到最新版本,以获取最新的安全补丁;避免访问不信任的网站,尤其是在使用公共Wi-Fi时;安装一些可帮助阻止恶意请求的浏览器插件。对于开发者来说,在开发应用程序时,应遵循最佳安全实践,例如添加授权和CSRF令牌,即使应用程序只在本地运行。
资讯来源:Oligo Security
转载请注明出处和本文链接
球分享
球点赞
球在看