Сегодня 02 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружена 18-летняя уязвимость браузеров Chrome, Firefox и Safari — они некорректно обрабатывают адрес 0.0.0.0

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Android теперь можно изменять RCS-сообщения, присланные с iPhone 13 мин.
В Threads появились собственные личные сообщения — без перехода в Instagram 6 ч.
Одной из двух замороженных игр People Can Fly была Outriders 2 — подробности отменённого сиквела 8 ч.
Telegram добавил списки задач и посты от подписчиков — на последних можно зарабатывать 8 ч.
Bloomberg раскрыл список «очень состоятельных» претендентов на покупку TikTok в США 8 ч.
Rockstar вспомнила о Red Dead Online — для мультиплеерного боевика вышло первое за долгое время крупное обновление 9 ч.
Психологический хоррор Dead Take сотрёт границу между кино и играми — в главных ролях оказались звёзды Baldur’s Gate 3 и Clair Obscur: Expedition 33 11 ч.
Nvidia выпустила драйвер с поддержкой GeForce RTX 5050 12 ч.
System Shock 2: 25th Anniversary Remaster получила новую дату выхода на PlayStation, Xbox и Nintendo Switch 12 ч.
Разработчик конфиденциальных сервисов Proton решил засудить Apple за недобросовестную конкуренцию 13 ч.
SpaceX увеличила темпы утилизации спутников Starlink — учёные предупреждают о рисках 10 мин.
Федеральный суд в США отказался снять обвинения с Huawei в нарушении санкций 2 ч.
Задняя панель Nothing Phone 3 стала больше похожа на экран смартфона 2 ч.
Новая статья: Обзор смартфона HONOR 400 Pro: настоящая уличная магия 5 ч.
Apple оштрафовали на $110 млн за незаконное использование технологии связи 20-летней давности 6 ч.
Новая статья: Обзор системного блока Bloody BD-PC CZ79C3: главное — настрой! 7 ч.
Apple обвинила экс-инженера Vision Pro в краже тысяч секретных файлов перед переходом к конкуренту 7 ч.
Отечественный квантовый процессор с наибольшим числом кубитов прошёл испытания и готов к масштабированию 9 ч.
Nothing представила накладные наушники Headphone (1) — аналоговое управление, звук KEF и автономность до 80 часов за €299 10 ч.
Marshall представила портативную колонку Middleton II с автономностью до 30 часов и LE Audio — она работает даже под водой 11 ч.