Сегодня 28 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружена 18-летняя уязвимость браузеров Chrome, Firefox и Safari — они некорректно обрабатывают адрес 0.0.0.0

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
ЕС пригрозил Meta ежедневными штрафами — бизнес-модель «плати или соглашайся» не прошла проверку 2 ч.
Новая статья: FBC: Firebreak — контроль потерян. Рецензия 3 ч.
Кодзима спрятал в Death Stranding 2: On the Beach отсылки к самому себе — они могут вызвать «сильный кринж» 3 ч.
Сердце пустыни склонно к измене: создатели Dune: Awakening устроили передел PvP и PvE в эндгейме после жалоб игроков 5 ч.
Microsoft добавила в браузер Edge поиск по истории с ИИ и новые функции Copilot 7 ч.
«Погоня за безопасными идеями — смертный приговор»: разработчик Rematch разбил надежды фанатов на Sifu 2 8 ч.
Мир охватила эпидемия ИИ-зависимости — от нездорового общения с ботами лечатся, как от наркомании 8 ч.
Cloudflare объяснила проблемы с доступом ко многим сайтам из России и заявила, что не может их исправить 8 ч.
VK Tech представил линейку новых сервисов информационной безопасности 9 ч.
Кооперативное выживание Abiotic Factor в духе Half-Life и научной фантастики 90-х готово к выбросу из раннего доступа — дата выхода и новый трейлер 9 ч.
Intel скоро «догонит» AMD по доле рынка серверных процессоров 3 ч.
Intel смогла снизить долю на рынке серверных процессоров до 62 %, но доля AMD всё равно меньше 3 ч.
Да будет свет: российские IT-компании заинтересовались арендой тёмного волокна 4 ч.
Учёные заставили цифровой контроллер работать почти при абсолютном нуле — это прорыв для квантовых компьютеров 5 ч.
Над США взорвался пылающий метеорит массой более тонны — осколки пробили жилой дом 8 ч.
Геймерские OLED-мониторы станут ярче — LG Display запустила массовое производство суперярких панелей с частотой 280 Гц 8 ч.
Deloitte: прожорливость ИИ ЦОД может привести к перегрузке энергетической инфраструктуры США 10 ч.
Cooler Master выпустила компактный корпус NR200P V3 с поддержкой больших и мощных видеокарт 10 ч.
Китайский «Большой фонд» сосредоточится на импортозамещении в литографии и проектировании чипов 11 ч.
«Яндекс Фабрика» выпустила первые Bluetooth-колонки под брендом Commo — от 3490 рублей 11 ч.