0.0.0.0 Day 漏洞曝光:影响 Chrome、Firefox 和 Safari 在内所有主流浏览器,可追溯到 18 年前

互联网资讯 互联网资讯 发布于 9个月前 4 浏览 0 回复

8 月 9 日消息,网络安全公司 Oligo Security 最新示警报告了存在于 Chrome、Firefox 和 Safari 浏览器中的安全漏洞,黑客可利用该漏洞入侵本地网络。

0.0.0.0 Day 漏洞

该团队将该漏洞命名为“0.0.0.0 Day”,可以追溯到 18 年前,黑客主要利用 0.0.0.0 这个看似无害的 IP 地址,攻击本地服务(包括用于开发、操作系统甚至内部网络的服务)。

团队表示这个漏洞暴露了浏览器处理网络请求时存在的一个基本缺陷,可能会让恶意行为者访问本地设备上运行的敏感服务。

这个错误最早可以追溯到 2006 年,Mozilla 公司在 BUG 追踪页面显示了相关问题,在 Chromium BUG 追踪页面显示为 2008 年,但目前两个 BUG 均显示为 Open 状态,没有修复。

主流浏览器均受影响

该机构表示包括 Chromium、Firefox、Safari 在内,所有主流浏览器均存在这个逻辑漏洞。

攻击者可以在 macOS 和 Linux 发行版上,利用该漏洞让公共网站(如以 .com 结尾的域名)访问本地网络(localhost)服务,并可能通过使用 0.0.0.0 地址而不是 localhost / 127.0.0.1 在访问者的主机上执行任意代码。

燃领网从报道中获悉,Windows 系统版本不受影响。

已有证据表明黑客发起攻击

专家们敦促解决这一漏洞,目前已经有证据表明黑客利用该漏洞发起攻击。

根据 Chromium 中的计数器,发送 0.0.0.0 的网站比例正在上升。这些网页可能是恶意的,目前占所有网站的 0.015%。截至 2024 年 8 月,全球有 2 亿个网站,可能有多达约 1 万个公共网站正在使用 0.0.0.0 进行通信。



同类文章推荐:

  • 版本管理系统 Git 2.47 发布:引入增量多包索引、自动合并 VS Code 配置等
  • 微软推送 Windows Server 十月更新,修复远程桌面连接每 30 分钟崩溃问题
  • 全球最大建站平台 WordPress 出现骚乱,开发商和托管商口水战升级
  • 谷歌 CEO 皮查伊:AI 不会取代程序员,反而会让更多人成为程序员
  • 谷歌 Android 15 源码正式推送至安卓开源项目 AOSP
  • 谷歌搜索将整合 C2PA 2.1 标准,标注 AI 生成 / 编辑图片