Apple opravuje zranitelnost v Safari pro macOS, která, jak se zdá, pochází z úsvitu počítačů Intel Mac.
Od 8. srpna do 11. srpna se v Las Vegas koná hackerská konference Defcon, na které se hovoří o nově objevených bezpečnostních problémech. Jedna přednáška, která se má uskutečnit o prodlouženém víkendu, bude diskutovat o problému se Safari, na jehož odstranění se Apple snažil.
Zneužití objevené Oligo Security je zranitelnost nultého dne zahrnující IP adresu 0.0.0.0. Výzkumníci nazvali „0.0.0.0 Day“ a odhaluje chybu v tom, jak prohlížeče zpracovávají síťové požadavky, kterou lze zneužít k přístupu k citlivým místním službám.
Výzkumníci zjistili, že veřejné webové stránky mohou komunikovat se službami běžícími v místní síti. Webové stránky mohou spustit kód na hardwaru návštěvníka jednoduše zacílením na 0.0.0.0 namísto localhost/127.0.0.1.
Toto je chyba, která existuje již mnoho let. Výzkumníci našli zprávu o bezpečnostním problému týkajícím se IP adresy z roku 2006.
Problém se týká všech hlavních prohlížečů, zjistili výzkumníci a všechny související společnosti byly informovány v rámci zodpovědného zveřejnění.
Pro Safari provedl Apple změny ve WebKitu, aby blokoval přístup k 0.0.0.0. Také přidal kontrolu na IP adresu cílového hostitele a zablokoval požadavek, pokud jsou všechny nuly.
Tato změna je implementována jako součást Safari 18, která je součástí beta verzí macOS Sequoia.
Stejný problém byl nalezen v prohlížečích Mozilla Firefox a Google Chrome. V případě Firefoxu probíhá oprava a Mozilla změnila specifikaci Fetch tak, aby blokovala 0.0.0.0.
Google podobně zavádí aktualizace, které blokují přístup k 0.0.0.0, což se týká uživatelů Chrome i prohlížečů založených na Chromiu.
Přednáška Oligo Security se bude konat v sobotu v AppSec Village of Defcon.
Zdroj: appleinsider.com