Notebookcheck Logo

0.0.0.0 日漏洞揭示了 Chrome、Safari 和 Firefox 中存在 18 年之久的安全漏洞

根据 Oligo Security 的报告,Chrome 浏览器从 Chromium 128 开始阻止访问 0.0.0.0(Finch Rollout)。(图片来源:谷歌)
根据 Oligo Security 的报告,Chrome 浏览器从 Chromium 128 开始阻止访问 0.0.0.0(Finch Rollout)。(图片来源:谷歌)
18 年前发现的 "0.0.0.0 日 "漏洞允许恶意网站绕过 Google Chrome、Mozilla Firefox 和Apple Safari 中的安全协议,主要影响 Linux 和 macOS 设备。攻击者可利用该漏洞远程更改设置、访问受保护信息,并可能在受影响系统上执行代码。尽管该漏洞于 2008 年首次披露,但至今仍未得到解决,不过浏览器开发人员目前正在采取措施解决这一问题。建议开发人员采取更多安全措施来保护其应用程序。
Security Software

一个已有 18 年历史的名为 "0.0.0.0 日 "的漏洞已被披露,该漏洞允许恶意网站绕过主要网络浏览器的安全协议,其中包括 谷歌浏览器, 火狐浏览器Apple Safari.该缺陷主要影响 MacOS设备,使威胁行为者可以进行远程访问,从而更改设置、未经授权访问敏感信息,甚至实现远程代码执行。尽管该问题最初在 2008 年就被报告过,但在这些浏览器中仍未得到解决,不过开发人员已经承认了这一问题,并据说正在努力修复。

0.0.0.0 日 "漏洞源于不同浏览器的安全机制不一致,以及缺乏标准化,导致公共网站可以使用 "通配符 "IP 地址 0.0.0.0 与本地网络服务交互。 通过利用这个 IP 地址,攻击者可以攻击本地服务,包括用于开发和内部网络的服务。"0.0.0.0 "通常被解释为代表本地机器上的所有 IP 地址。

Oligo Security 的研究人员的研究人员发现有多个威胁方利用了这一漏洞。ShadowRay和 Selenium 攻击活动正积极瞄准人工智能工作负载和 Selenium Grid 服务器。作为回应,网络浏览器开发人员开始采取措施阻止对 0.0.0.0 的访问,谷歌 Chrome 浏览器、Mozilla Firefox 和Apple Safari 都计划更新以解决这一问题。

在这些修复措施完全实施之前,Oligo 建议开发人员采取其他安全措施,如使用 PNA(专用网络访问)标头、验证 HOST 标头、采用 HTTPS 和 CSRF(跨站请求伪造)令牌来保护其应用程序。

图中显示了可能与 0.0.0.0 通信的公共网站数量的增加情况。(图片来源:Oligo Security)
图中显示了可能与 0.0.0.0 通信的公共网站数量的增加情况。(图片来源:Oligo Security)

资料来源

Oligo 安全

Please share our article, every link counts!
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2024 08 > 0.0.0.0 日漏洞揭示了 Chrome、Safari 和 Firefox 中存在 18 年之久的安全漏洞
Anubhav Sharma, 2024-08- 9 (Update: 2024-08- 9)