Daudzus gadus ilgā drošības uzraudzība ir novērsta gandrīz visās tīmekļa pārlūkprogrammās — pārlūkprogrammās, kuru pamatā ir Chromium, tostarp Microsoft Edge un Google Chrome, un WebKit pārlūkprogrammās, piemēram, Apple Safari un Mozilla Firefox.
Noziedznieki tos var un ir izmantojuši, lai piekļūtu programmatūras pakalpojumiem, kuriem viņiem nevajadzētu piekļūt. Šī ievainojamība ietekmē iepriekš minētās pārlūkprogrammas operētājsistēmās MacOS un Linux, un, iespējams, arī citas pārlūkprogrammas, bet vismaz ne operētājsistēmā Windows.
Uzņēmums Oligo Security šomēnes atklāja ievainojamību un nosauca to par 0.0.0.0 dienu, jo tā attiecas uz IPv4 adresi 0.0.0.0. Šķiet, ka uzbrucēji ir ļaunprātīgi izmantojuši šo ievainojamību vismaz kopš 2000. gadu beigām, pamatojoties uz Mozilla Bugzilla virkne no šī laikmeta, kas joprojām ir norādīts kā atklāts.
Saskaņā ar Oligo teikto, katra no trim pārlūkprogrammu komandām ir apsolījusi bloķēt visu piekļuvi 0.0.0.0, un tās ir arī apņēmušās ieviest savus mīkstināšanas pasākumus, lai aizvērtu vietējās resursdatora ievainojamību.
Problēma ir ļoti vienkārša: ja atverat ļaunprātīgu tīmekļa lapu ievainojamā operētājsistēmas ievainojamā pārlūkprogrammā, šī lapa var nosūtīt pieprasījumus uz 0.0.0.0 un portu pēc savas izvēles. Ja jūsu ierīcē šajā portā lokāli darbojas citi serveri vai pakalpojumi, šie pieprasījumi tiks nosūtīti tur.
Tātad, ja jums ir kāds pakalpojums, kas darbojas MacOS vai Linux darbstacijā ar portu 11223, un jūs pieņemat, ka neviens tam nevar piekļūt, jo tas atrodas aiz jūsu ugunsmūra, un jūsu lielā pārlūkprogramma bloķē ārējos pieprasījumus vietējam resursdatoram, padomājiet vēlreiz, jo šī pārlūkprogramma Pieprasījums 0.0.0.0:11223 ir novirzīts uz jūsu pakalpojumu ļaunprātīgu lapu, kuru apmeklējat.
Tā ir ļoti maza iespēja praktiskās izmantošanas ziņā, taču jūs nevēlaties atklāt, ka kāda vietne nejauši ir nokļuvusi jūsu vietējā galapunktā. Patiesībā jocīgi, ka tas notiks 2024. gadā.
Ir jābūt ieviestiem drošības mehānismiem, kas neļautu ārējām vietnēm šādā veidā piekļūt vietējam saimniekdatoram. precīzi, Vairāku izcelsmes resursu koplietošana (CORS) Specifikācijas, tad jaunākais Privātā tīkla piekļuve (PNA)ko pārlūkprogrammas izmanto, lai atšķirtu publiskos un nepubliskos tīklus, un uzlabo CORS sistēmu, ierobežojot ārējo vietņu iespēju sazināties ar serveriem privātajos tīklos un mitināšanas ierīcēs.
Tomēr Oligo komandai izdevās tikt garām PNA. Pētnieki portā 8080 uzstādīja viltus HTTP serveri, kas darbojas ar 127.0.0.1, kas pazīstams arī kā localhost, un pēc tam varēja tam piekļūt no ārējas publiskas vietnes, izmantojot JavaScript, nosūtot pieprasījumu uz 0.0.0.0:8080.
“Tas nozīmē, ka publiskās vietnes var piekļūt jebkuram atvērtam jūsu resursdatora portam, neredzot atbildi,” sacīja Oligo drošības pētnieks Avi Lomeļskis. Par to ziņots.
Atbildot uz to, pārlūks Chrome: ceļa bloķēšana Sasniedzot 0.0.0.0, sākot ar Chromium 128, Google pakāpeniski ieviesīs šīs izmaiņas, lai pabeigtu pārlūkprogrammu Chrome 133. Apple Izmaiņas atvērtā pirmkoda programmatūrai WebKit, kas bloķē piekļuvi 0.0.0.0.
Mozilla nav tūlītēja risinājuma, un tā nav ieviesusi PNA pārlūkprogrammā Firefox. Pēc Olgio teiktā, Mozilla Tas mainās Ielādēt specifikāciju (RFC), lai pēc ziņojuma bloķētu 0.0.0.0.
Nosūtīja Mozilla pārstāvis Ieraksts Šis paziņojums pa e-pastu:
Pēc Oligo domām, šis pētījums ir spēcīgs PNA arguments.
“Kamēr PNA nav pilnībā palaists, publiskās vietnes var nosūtīt HTTP pieprasījumus, izmantojot Javascript, lai veiksmīgi piekļūtu pakalpojumiem vietējā tīklā,” rakstīja Lomeļskis. “Lai tas mainītos, mums ir jāstandartizē PNA, un mums ir vajadzīgas pārlūkprogrammas, lai ieviestu PNA saskaņā ar šo standartu.”
/cdn.vox-cdn.com/uploads/chorus_asset/file/25631935/Screenshot_2024_09_20_at_3.26.10_PM.jpeg "Meta Connect 2024: kā skatīties un ko sagaidīt")
