蘋果公司修復了一個古老的macOS Safari 0.0.0.0 的零日安全漏洞
蘋果正在修復macOS 的Safari中的一個漏洞,這個漏洞似乎可以追溯到英特爾架構Mac 誕生之初。Defcon駭客大會將於8 月8 日至8 月11 日在拉斯維加斯舉行,將討論新發現的安全問題。將在這個長週末舉行的會談將討論Safari 的一個問題,蘋果已經在努力修復這個問題。
Oligo Security 發現的這個漏洞是一個涉及IP 位址0.0.0.0 的零日漏洞。該漏洞被研究人員稱為”0.0.0.0 Day”,它暴露了瀏覽器處理網路請求時的漏洞,可被濫用來存取敏感的本地服務。
研究人員發現,公共網站可以與本地網路上運行的服務進行通訊。這些網站只需瞄準0.0.0.0,而不是localhost/127.0.0.1,就有可能在訪客的硬體上執行程式碼。
這是一個存在多年的漏洞。研究人員發現,早在2006 年就有報告指出存在涉及IP 位址的安全問題。
研究人員發現,這個問題影響到所有主要瀏覽器,作為負責任揭露的一部分,所有相關公司都已被告知。
在Safari 中,蘋果對WebKit 進行了修改,以阻止對0.0.0.0 的存取。它還增加了對目標主機IP 位址的檢查,如果該位址全為0,就會阻止請求。
Safari 18 已包含在macOS Sequoia 的測試版中。
在Mozilla Firefox 和Google Chrome 瀏覽器中也發現了同樣的問題。 Firefox瀏覽器正在進行修復,Mozilla 更改了”擷取”規範以阻止0.0.0.0。
Google同樣推出了阻止訪問0.0.0.0 的更新,影響到Chrome 瀏覽器和基於Chromium 的瀏覽器用戶。
作為Defcon 的AppSec Village的一部分,Oligo Security 將在周六舉行一場講座。