允许攻击者访问本地服务，影响所有主流浏览器的“0.0.0.0 Day”漏洞已存在18年之久

该漏洞由以色列网络安全公司Oligo Security的研究人员发现，它与浏览器处理网络请求的方式有关。简单来说，设备通过读取IP地址将用户连接到网站，0.0.0.0通常作为一个占位符，直到分配到真实的地址。但是，Oligo Security的研究人员在测试浏览器如何处理对不同IP地址的请求时发现，当浏览器向0.0.0.0发送请求时，请求会被重定向到localhost，这使得攻击者可以绕过安全机制，访问本地网络上的服务。

“0.0.0.0 Day”漏洞的根源在于不同浏览器之间的安全机制不一致，以及缺乏标准化，允许公共网站使用通配符IP 地址 0.0.0.0 与本地网络服务进行交互。由于浏览器在处理 0.0.0.0 地址的请求时存在缺陷，攻击者可以利用该漏洞执行恶意代码，窃取用户数据，甚而完全控制受影响的设备。

“0.0.0.0 Day”漏洞波及所有使用受影响浏览器版本的用户，特别是macOS和Linux用户。Windows用户由于操作系统层面的限制，不受此漏洞影响。

Oligo Security 已将该漏洞的发现报告给了相关的浏览器厂商，包括 Google、Apple 和 Mozilla。这些厂商已着手采取措施修复该漏洞。

Google将从 Chromium 128 开始阻止对 0.0.0.0 的访问，并将在 Chrome 133 中完成此过程。

Apple已经更改了其 WebKit 浏览器引擎以阻止对 0.0.0.0 的访问，并将在新的 macOS 版本中引入此更改。

Mozilla已经更改了 Fetch 规范以阻止 0.0.0.0，并且在未来的某个时间点，Firefox 将阻止 0.0.0.0且不依赖于 PNA 的实现。

用户对此可以采取的措施有：尽快将浏览器更新到最新版本，以获取最新的安全补丁；避免访问不信任的网站，尤其是在使用公共Wi-Fi时；安装一些可帮助阻止恶意请求的浏览器插件。对于开发者来说，在开发应用程序时，应遵循 最佳 安全实践，例如添加授权和CSRF令牌，即使应用程序只在本地运行。

资讯来源：Oligo Security

转载请注明出处和本文链接

球分享

球点赞