Сегодня 22 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружена 18-летняя уязвимость браузеров Chrome, Firefox и Safari — они некорректно обрабатывают адрес 0.0.0.0

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Electronic Arts анонсировала открытую «бету» Battlefield 6, а в приложении EA App засветились её подробности 21 мин.
Плохо прогнозируемый эффект от применения ИИ — один из основных барьеров, сдерживающих его использование в промышленности 29 мин.
ИИ-модель Google Gemini получила золотую медаль Международной математической олимпиады 2 ч.
OpenAI раскрыла масштабы популярности ChatGPT: каждый день бот получает 2,5 млрд запросов 11 ч.
Microsoft реализовала на ПК и консолях Xbox кроссплатформенную историю запущенных игр, но пока не для всех 12 ч.
Календарь релизов —21–27 июля: Killing Floor 3, Wuchang: Fallen Feathers и The King is Watching 12 ч.
Дуров призвал сообщать ему о вымогателях в Telegram, охотящихся за подарками — но это не бесплатно 13 ч.
Сэм Альтман: к концу года ChatGPT будет работать на миллионе GPU, а в будущем — на ста миллионах 13 ч.
Спустя два года после релиза в Avatar: Frontiers of Pandora всё-таки добавят функции, которые фанаты просили больше всего 14 ч.
Microsoft ускорила запуск приложений Office, но это может замедлить загрузку Windows 15 ч.
Новая статья: Безопасный выход в интернет для аэропортов как объектов КИИ: как преодолеть дилемму изоляции и безопасности 46 мин.
Китайская YMTC рассчитывает запустить импортозамещённую производственную линию и к концу 2026 года занять 15 % рынка NAND 2 ч.
Телефон Escobar Fold 2 оказался фальшивкой — создателю бренда грозит 20 лет тюрьмы 3 ч.
Google раскрыла дизайн Pixel 10 за месяц до презентации, опередив утечки 3 ч.
Один из первых ЦОД для ИИ-мегапроекта Stargate появится в США к концу этого года 3 ч.
В ближайшие пару лет Apple будет привлекать покупателей сверхтонкими и складными iPhone соответственно 5 ч.
Новая статья: Система жидкостного охлаждения MSI MAG CoreLiquid A13 360: добавляем в закладки ещё одну 10 ч.
Амстердам и Франкфурт выбыли из первой двадцатки локаций гиперскейлеров 14 ч.
Ryzen Threadripper Pro 9995WX разогнали до 5 ГГц на всех 96 ядрах: 950 Вт потребления и 186 тыс. баллов в Cinebench R23 15 ч.
Tesla попытается остановить падение продаж электромобилей скидками, бесплатной зарядкой и другими бонусами 15 ч.