Сегодня 08 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружена 18-летняя уязвимость браузеров Chrome, Firefox и Safari — они некорректно обрабатывают адрес 0.0.0.0

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Авторы Clair Obscur: Expedition 33 похвастались продажами игры и анонсировали крупное обновление с новой локацией, боссами и костюмами 30 мин.
Российский рынок IaaS и PaaS отметился 30-проценным ростом с начала года 2 ч.
Beeline Cloud представил комплексное решение для работы с «1С» в защищённом облаке 3 ч.
Разработчик Baldur’s Gate 3 бросил тень на план Илона Маска «сделать игры снова великими» с помощью ИИ 4 ч.
У Gemini обнаружили уязвимость с подменой символов, но Google решила ничего не делать 4 ч.
Apple высмеяла Windows 11 в 8-минутном рекламном ролике про «синий экран смерти» 4 ч.
Activision отметит релиз Battlefield 6 неделей бесплатного доступа к Call of Duty: Black Ops 6 5 ч.
Страховые компании отказались работать с OpenAI и Anthropic — риски от внедрения ИИ не поддаются оценке 5 ч.
Claude Sonnet 4.5 научилась понимать намерения людей и «подгоняет» ответы в тестах 5 ч.
С начала года северокорейские хакеры украли криптовалюты на $2 млрд — это рекорд 8 ч.
Китайские поставщики кремниевых пластин скоро начнут вытеснять мировых лидеров 54 мин.
Не Windows, а золото: из старых британских ПК, лишённых обновлений Microsoft, можно извлечь драгметаллы на £1,8 млрд 2 ч.
Selectel представила российскую серверную платформу на базе AMD EPYC 9005 Turin 3 ч.
Настольные суперкомпьютеры Nvidia DGX Spark на суперчипе GB10 снова не вышли в назначенные сроки 3 ч.
Американские претензии к ASML из-за поставок оборудования в Китай обрушили акции компании 4 ч.
Представлен смартфон Realme 15 Pro в стиле «Игры престолов» 4 ч.
Onyx представила смартфоноподобную читалку Boox P6 Pro с цветным дисплеем, стилусом и связью 5G 4 ч.
Техногиганты США приостановили развитие ЦОД в Индии, хотя ранее обещали вложить в них миллиарды долларов 5 ч.
Ловкость рук и никакого мошенничества: мегасделки OpenAI на $1 трлн сводятся к передаче денег по кругу 5 ч.
Шведский консорциум изучит создание первых в стране ЦОД с питанием от SMR 5 ч.