Сегодня 23 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружена 18-летняя уязвимость браузеров Chrome, Firefox и Safari — они некорректно обрабатывают адрес 0.0.0.0

Браузеры Google Chrome, Apple Safari и Mozilla Firefox некорректно обрабатывают обращение к IP-адресу 0.0.0.0, направляя запросы на другие адреса, включая локальный localhost, который часто используется при разработке кода. Этой уязвимостью уже пользовались хакеры, отправляя запросы на адрес 0.0.0.0 своей жертвы, что открывало им доступ к закрытой информации, сообщили эксперты по кибербезопасности израильской компании Oligo. Они присвоили этой схеме атаки название «0.0.0.0-day».

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

При реализации этой схемы атаки злоумышленник обманом заставляет свою жертву посетить сайт, который кажется безобидным, но отправляет вредоносный запрос на доступ к файлам через адрес 0.0.0.0. На первом же этапе вторжения хакер может получить доступ к коду разработчика и внутренним сообщениям; но эта атака также открывает доступ к локальной сети жертвы. Это значит, что схема ограничена возможностью атаковать лишь отдельных лиц и компании, которые сами размещают веб-серверы.

Механизм 0.0.0.0-day позволяет, например, запускать вредоносный код на сервере, где размещён фреймворк Ray AI, который используется для обучения искусственного интеллекта крупнейшими компаниями, в том числе Amazon и Intel. Это не теоретическая угроза — об эксплуатирующем эту уязвимость вредоносном ПО рассказывал инженер по кибербезопасности Google Дэвид Адриан (David Adrian). Атаки этого рода возможны на компьютерах под управлением macOS и Linux, но не Windows — Microsoft заблокировала доступ к адресу 0.0.0.0 во всей ОС. Apple сообщила, что намеревается блокировать все попытки сайтов обращаться к этому адресу в бета-версии macOS 15 Sequoia; то же самое планируют сделать эксперты по кибербезопасности Google Chrome и Chromium.

А вот Mozilla пока не готова предложить то же решение для Firefox — разработчик браузера заявил, что это может вызвать сбои на серверах, использующих адрес 0.0.0.0 в качестве замены localhost, поэтому необходимо принять решение на уровне стандартов. Но израильские эксперты по кибербезопасности настаивают, что угроза значительная: «Разрешая 0.0.0.0, вы разрешаете всё». Подробный доклад они намереваются представить на конференции DEF CON в Лас-Вегасе в ближайшие выходные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Новые правила «Оскара» разрешили применение ИИ в кино, но с оговоркой 2 ч.
Google бросила попытки искоренить сторонние cookies — они останутся в браузере Chrome 3 ч.
«Однозначно стоит своих денег»: хоррор Post Trauma в духе первых Silent Hill и Resident Evil вышел в российском Steam 4 ч.
Apple полностью поменяет команду разработки Siri, чтобы вывести её из застоя 4 ч.
Nvidia похвалилась, что поддержка технологии DLSS уже есть в 769 играх и приложениях 6 ч.
Анонсирован психологический хоррор «нового уровня» Displacement с элементами BioShock и Condemned — игра на грани закрытия 6 ч.
AMD выпустила необязательный драйвер с поддержкой The Elder Scrolls IV: Oblivion Remastered и FSR 4 для новых игр 7 ч.
Apple перестала обманывать пользователей и убрала утверждение, что Apple Intelligence «доступен сейчас» 7 ч.
Gmail упростил отписку от надоедливых рассылок, собрав их все в одном месте 8 ч.
Bethesda анонсировала и выпустила The Elder Scrolls IV: Oblivion Remastered — с новой графикой, улучшенным геймплеем и без русского языка 9 ч.
Минпромторг исключит ноутбуки и серверы HP и Fujitsu из списка на параллельный импорт 3 ч.
Новая статья: Старость — не радость (и для кремния тоже) 3 ч.
GS Group освоила самое передовое в России корпусирование микросхем, но до мировых лидеров ещё далеко 4 ч.
Зонд «Гера» показал Марс с необычного ракурса и сфотографировал один из самых маленьких спутников в Солнечной системе 4 ч.
Европа проведёт эксперимент по производству еды прямо на орбите 4 ч.
Учёные построили симулятор чёрной и белой дыры — он поможет создать электронику будущего и не только 5 ч.
Qualcomm обвинила Arm в нарушении лицензионного соглашения и тайном намерении стать производителем чипов 7 ч.
Colorfire представила бело-оранжевую GeForce RTX 5060 Ti Meow с лапками 7 ч.
Астрономы обнаружили хвостатую планету, которая буквально испаряется с каждым оборотом вокруг своей звезды 9 ч.
Insta360 представила экшн-камеру X5 за $550 c простой заменой разбитых линз 9 ч.