苹果正在修复 macOS 的Safari中的一个漏洞,这个漏洞似乎可以追溯到英特尔架构 Mac 诞生之初。Defcon黑客大会将于 8 月 8 日至 8 月 11 日在拉斯维加斯举行,会上将讨论新发现的安全问题。将在这个长周末举行的一场会谈将讨论 Safari 的一个问题,苹果公司已经在努力修复这个问题。
Oligo Security 发现的这个漏洞是一个涉及 IP 地址 0.0.0.0 的零日漏洞。该漏洞被研究人员称为"0.0.0.0 Day",它暴露了浏览器处理网络请求时的一个漏洞,可被滥用来访问敏感的本地服务。
研究人员发现,公共网站可以与本地网络上运行的服务进行通信。这些网站只需瞄准 0.0.0.0,而不是 localhost/127.0.0.1,就有可能在访问者的硬件上执行代码。
这是一个存在多年的漏洞。研究人员发现,早在 2006 年就有报告称存在涉及 IP 地址的安全问题。
研究人员发现,这个问题影响到所有主要浏览器,作为负责任披露的一部分,所有相关公司都已被告知。
在 Safari 中,苹果对 WebKit 进行了修改,以阻止对 0.0.0.0 的访问。它还增加了对目标主机 IP 地址的检查,如果该地址全为 0,就会阻止请求。
Safari 18 已包含在macOS Sequoia 的测试版中。
在 Mozilla Firefox 和 Google Chrome 浏览器中也发现了同样的问题。Firefox浏览器正在进行修复,Mozilla 更改了"撷取"规范以阻止 0.0.0.0。
Google同样推出了阻止访问 0.0.0.0 的更新,影响到 Chrome 浏览器和基于 Chromium 的浏览器用户。
作为 Defcon 的AppSec Village的一部分,Oligo Security 将在周六举行一场讲座。