來自新創公司 Oligo 的安全研究人員發現了市場上在 macOS 和 Linux 上運行的主要網頁瀏覽器有缺陷。此漏洞涉及發送到地址 0.0.0.0 的請求的處理方式。它們通常用於在私有伺服器上測試開發中的程式碼。
一個嚴重缺陷,但範圍有限
Safari、Chrome 和 Firefox 將這些要求重新導向到內部 IP 位址,例如「localhost」。駭客可以利用此缺陷,向位址 0.0.0.0 發送惡意請求,從而允許他們存取用戶的私人資料和內部網路。
此缺陷主要影響個人用戶和託管網路伺服器的公司,從而限制了攻擊範圍。此外,該漏洞取決於使用「localhost」的特定應用程式的存在,可以透過 0.0.0.0 存取該應用程式;這可能是開發應用程式或人工智慧框架。
此外,這可能是最重要的事情,該漏洞與 Windows 無關,這次:Microsoft 選擇在其作業系統上阻止對其位址 0.0.0.0 的請求!然而,macOS 和 Linux 直接受到影響。
然而,這些攻擊並不是虛擬的:Google安全研究員寫了早在 6 月就已經提交了幾份關於惡意軟體利用該缺陷攻擊開發工具的報告。
蘋果確認福布斯Safari 18(macOS Sequoia 附帶的版本)將阻止網站訪問 IP 位址 0.0.0.0 的所有嘗試。 Mozilla 仍在研究解決方案。
Opera One - AI 驅動的網頁瀏覽器
作者:歌劇
來源 : 福布斯
