Skip to main content

Значок Safari в macOS

Apple устраняет уязвимость в Safari для macOS, которая, судя по всему, появилась еще на заре появления компьютеров Mac на базе Intel.

Хакерская конференция Defcon пройдет с 8 по 11 августа в Лас-Вегасе, где будут обсуждаться недавно обнаруженные проблемы безопасности. Одна из лекций, которая состоится в течение длинных выходных, будет посвящена проблеме с Safari, над устранением которой работает Apple.

Эксплойт, обнаруженный Oligo Security, представляет собой уязвимость нулевого дня, связанную с IP-адресом 0.0.0.0. Окрещенный исследователями как «0.0.0.0 Day», он выявляет изъян в том, как браузеры обрабатывают сетевые запросы, что может быть использовано для доступа к конфиденциальным локальным службам.

Исследователи обнаружили, что публичные веб-сайты могут взаимодействовать со службами, работающими в локальной сети. Веб-сайты могут выполнять код на оборудовании посетителя, просто указав 0.0.0.0 вместо localhost/127.0.0.1.

Это ошибка, которая существует уже много лет. Исследователи обнаружили отчет о проблеме безопасности, связанной с IP-адресом, датируемый 2006 годом.

Исследователи обнаружили, что эта проблема затрагивает все основные браузеры, и все соответствующие компании были уведомлены в рамках ответственного раскрытия информации.

Для Safari Apple внесла изменения в WebKit, чтобы заблокировать доступ к 0.0.0.0. Также была добавлена ​​проверка IP-адреса хоста назначения, блокирующая запрос, если он состоит из одних нулей.

Это изменение реализуется в рамках Safari 18, который включен в бета-версии macOS Sequoia.

Та же проблема была обнаружена в Mozilla Firefox и Google Chrome. В случае Firefox ведется работа по исправлению, и Mozilla изменила спецификацию Fetch, чтобы заблокировать 0.0.0.0.

Google аналогичным образом выпускает обновления для блокировки доступа к 0.0.0.0, что затрагивает как пользователей Chrome, так и пользователей браузеров на базе Chromium.

Доклад Oligo Security состоится в рамках AppSec Village конференции Defcon в субботу.