Patch para vulnerabilidade 0.0.0.0 nos navegadores Chrome, Firefox e Safari • The Register

Uma supervisão de segurança de anos foi abordada em quase todos os navegadores da web – navegadores baseados em Chromium, incluindo Microsoft Edge e Google Chrome, e navegadores WebKit como Safari da Apple e Firefox da Mozilla.

Eles podem e têm sido explorados por criminosos para acessar serviços de software aos quais não deveriam ter acesso. Esta vulnerabilidade afeta os navegadores mencionados acima no macOS e Linux – e possivelmente em outros navegadores – mas pelo menos não no Windows.

Uma empresa chamada Oligo Security divulgou a vulnerabilidade este mês e nomeou-a como 0.0.0.0 Day porque está relacionada ao endereço IPv4 0.0.0.0. Parece que os invasores têm abusado dessa vulnerabilidade pelo menos desde o final dos anos 2000 – com base no Mozilla Bugzilla corda daquela época, que ainda está listada como aberta.

De acordo com Oligo, cada uma das três equipes de navegadores prometeu bloquear todo o acesso ao 0.0.0.0 e também prometeu implementar suas próprias mitigações para fechar a vulnerabilidade do host local.

O problema é muito simples: se você abrir uma página da Web maliciosa em um navegador vulnerável em um sistema operacional vulnerável, essa página poderá enviar solicitações para 0.0.0.0 e uma porta de sua escolha. Se você tiver outros servidores ou serviços em execução localmente no seu dispositivo nesta porta, essas solicitações irão para lá.

Portanto, se você tiver algum serviço em execução em uma estação de trabalho macOS ou Linux na porta 11223 e presumir que ninguém pode acessá-lo porque está atrás do seu firewall e seu grande navegador está bloqueando solicitações externas para localhost, pense novamente porque esse navegador irá Uma solicitação 0.0.0.0:11223 é direcionada ao seu serviço por uma página maliciosa que você visita.

É uma possibilidade muito remota em termos de exploração prática – mas você não gostaria de descobrir que algum site chegou ao seu endpoint local por acidente. Na verdade, é engraçado que isso aconteça em 2024.

Supõe-se que existam mecanismos de segurança para evitar que sites externos acessem seu host local dessa maneira. precisamente, Compartilhamento de recursos entre origens (CORS) Especificações, então mais recentes Acesso à rede privada (PNA)que os navegadores usam para distinguir entre redes públicas e não públicas, e aprimora o sistema CORS, restringindo a capacidade de sites externos se comunicarem com servidores em redes privadas e dispositivos de hospedagem.

Porém, a equipe de Oligo conseguiu ultrapassar o PNA. Os pesquisadores configuraram um servidor HTTP falso rodando em 127.0.0.1, também conhecido como localhost, na porta 8080, e conseguiram acessá-lo de um site público externo usando JavaScript, enviando uma solicitação para 0.0.0.0:8080.

“Isso significa que sites públicos podem acessar qualquer porta aberta em seu host, sem poder ver a resposta”, disse Avi Lomelsky, pesquisador de segurança da Oligo. Foi relatado.

Em resposta, o Chrome irá: obstáculo Alcançando 0.0.0.0 começando com o Chromium 128, o Google implementará gradualmente essa mudança para ser concluída pelo Chrome 133. A Apple tem Mudanças ao seu software de código aberto WebKit que bloqueia o acesso a 0.0.0.0.

A Mozilla não tem uma solução imediata e não implementou o PNA no Firefox. De acordo com Olgio, Mozilla Isso muda Especificação de busca (RFC) para bloquear 0.0.0.0 após seu relatório.

Um porta-voz da Mozilla enviou Registro A seguinte declaração por e-mail:

Segundo Oligo, esta pesquisa é um forte argumento a favor da PNA.

“Até que o PNA seja totalmente lançado, os sites públicos podem enviar solicitações HTTP usando Javascript para acessar serviços na rede local com sucesso”, escreveu Lomelski. “Para que isso mude, precisamos padronizar o PNA e precisamos que os navegadores implementem o PNA de acordo com esse padrão.”