来自初创公司 Oligo 的安全研究人员发现了市场上在 macOS 和 Linux 上运行的主要网络浏览器存在缺陷。此漏洞涉及发送到地址 0.0.0.0 的请求的处理方式。它们通常用于在私有服务器上测试开发中的代码。
一个严重缺陷,但范围有限
Safari、Chrome 和 Firefox 将这些请求重定向到内部 IP 地址,例如“localhost”。黑客可以利用此缺陷,向地址 0.0.0.0 发送恶意请求,从而允许他们访问用户的私人数据和内部网络。
该缺陷主要影响个人用户和托管网络服务器的公司,从而限制了攻击范围。此外,该漏洞取决于使用“localhost”的特定应用程序的存在,可以通过 0.0.0.0 访问该应用程序;这可能是开发应用程序或人工智能框架。
此外,这可能是最重要的事情,该漏洞与 Windows 无关,这一次:Microsoft 选择在其操作系统上阻止对其地址 0.0.0.0 的请求!然而,macOS 和 Linux 直接受到影响。
然而,这些攻击并不是虚拟的:谷歌安全研究员写了早在 6 月份就已经提交了几份关于恶意软件利用该缺陷攻击开发工具的报告。
苹果确认福布斯Safari 18(macOS Sequoia 附带的版本)将阻止网站访问 IP 地址 0.0.0.0 的所有尝试。 Mozilla 仍在研究解决方案。
Opera One - AI 驱动的网络浏览器
作者:歌剧
来源 : 福布斯
