Патч для уразливості 0.0.0.0 у браузерах Chrome, Firefox і Safari • The Register

Багаторічний нагляд за безпекою було усунено майже в усіх веб-браузерах — браузерах на базі Chromium, включаючи Microsoft Edge і Google Chrome, і веб-переглядачах WebKit, таких як Safari від Apple і Firefox від Mozilla.

Вони можуть і були використані злочинцями для доступу до програмних служб, до яких вони не повинні мати доступу. Ця вразливість впливає на згадані вище браузери в macOS і Linux – і, можливо, в інших браузерах – але принаймні не в Windows.

Цього місяця компанія під назвою Oligo Security розкрила вразливість і назвала її 0.0.0.0 Day, оскільки вона стосується IPv4-адреси 0.0.0.0. Схоже, зловмисники зловживають цією вразливістю принаймні з кінця 2000-х років – на основі Mozilla Bugzilla рядок з тієї епохи, який досі значиться відкритим.

За словами Oligo, кожна з трьох команд браузерів пообіцяла заблокувати будь-який доступ до 0.0.0.0, а також пообіцяла запровадити власні засоби пом’якшення, щоб закрити вразливість localhost.

Проблема дуже проста: якщо ви відкриваєте шкідливу веб-сторінку в уразливому браузері на вразливій операційній системі, ця сторінка може надсилати запити до 0.0.0.0 і порту на свій вибір. Якщо на вашому пристрої на цьому порту працюють інші сервери чи служби, ці запити надходитимуть туди.

Отже, якщо у вас є якась служба, запущена на робочій станції macOS або Linux на порту 11223, і ви припускаєте, що ніхто не може отримати до неї доступ, оскільки вона знаходиться за вашим брандмауером, а ваш великий браузер блокує зовнішні запити до localhost, подумайте ще раз, оскільки цей браузер буде Запит 0.0.0.0:11223 направляється шкідливою сторінкою, яку ви відвідуєте, до вашого сервісу.

Це дуже віддалена можливість з точки зору практичного використання, але ви б не хотіли виявити, що якийсь сайт випадково потрапив на вашу локальну кінцеву точку. Насправді смішно, що це станеться у 2024 році.

Передбачається, що існують механізми безпеки, щоб запобігти доступу зовнішніх сайтів до вашого локального хосту таким чином. точно, Спільне використання ресурсів між джерелами (CORS) Технічні характеристики, останні Приватний доступ до мережі (PNA)який браузери використовують для розрізнення загальнодоступних і непублічних мереж, і вдосконалює систему CORS, обмежуючи здатність зовнішніх сайтів спілкуватися з серверами в приватних мережах і хостинговими пристроями.

Однак команді Оліго вдалося подолати PNA. Дослідники встановили фальшивий HTTP-сервер, що працює за адресою 127.0.0.1, також відомий як localhost, на порту 8080, а потім змогли отримати до нього доступ із зовнішнього публічного сайту за допомогою JavaScript, надіславши запит на 0.0.0.0:8080.

«Це означає, що загальнодоступні сайти можуть отримати доступ до будь-якого відкритого порту на вашому хості, не маючи можливості побачити відповідь», — сказав дослідник безпеки Oligo Аві Ломельскі. Про це повідомляється.

У відповідь Chrome: блокпост Досягнувши версії 0.0.0.0, починаючи з Chromium 128, Google поступово впроваджуватиме цю зміну до Chrome 133. Apple Зміни до свого програмного забезпечення з відкритим кодом WebKit, яке блокує доступ до 0.0.0.0.

Mozilla не має негайного рішення та не реалізувала PNA у Firefox. За словами Olgio, Mozilla Це змінюється Отримати специфікацію (RFC) для блокування 0.0.0.0 після звіту.

Представник Mozilla надіслав запис Наступна заява електронною поштою:

За словами Оліго, це дослідження є вагомим аргументом на користь PNA.

«Поки PNA не буде повністю запущено, загальнодоступні веб-сайти можуть надсилати HTTP-запити за допомогою Javascript для успішного доступу до служб у локальній мережі», — написав Ломельскі. «Щоб це змінитися, нам потрібно стандартизувати PNA, і нам потрібні браузери, щоб реалізувати PNA відповідно до цього стандарту».