苹果正在修复macOS的Safari中的一个漏洞,这个漏洞似乎可以追溯到英特尔架构Mac诞生之初。Defcon黑客大会将于8月8日至8月11日在拉斯维加斯举行,会上将讨论新发现的安全问题。将在这个长周末举行的一场会谈将讨论Safari的一个问题,苹果公司已经在努力修复这个问题。
OligoSecurity发现的这个漏洞是一个涉及IP地址0.0.0.0的零日漏洞。该漏洞被研究人员称为"0.0.0.0Day",它暴露了浏览器处理网络请求时的一个漏洞,可被滥用来访问敏感的本地服务。
研究人员发现,公共网站可以与本地网络上运行的服务进行通信。这些网站只需瞄准0.0.0.0,而不是localhost/127.0.0.1,就有可能在访问者的硬件上执行代码。
这是一个存在多年的漏洞。研究人员发现,早在2006年就有报告称存在涉及IP地址的安全问题。
研究人员发现,这个问题影响到所有主要浏览器,作为负责任披露的一部分,所有相关公司都已被告知。
在Safari中,苹果对WebKit进行了修改,以阻止对0.0.0.0的访问。它还增加了对目标主机IP地址的检查,如果该地址全为0,就会阻止请求。
Safari18已包含在macOSSequoia的测试版中。
在MozillaFirefox和GoogleChrome浏览器中也发现了同样的问题。Firefox浏览器正在进行修复,Mozilla更改了"撷取"规范以阻止0.0.0.0。
Google同样推出了阻止访问0.0.0.0的更新,影响到Chrome浏览器和基于Chromium的浏览器用户。
作为Defcon的AppSecVillage的一部分,OligoSecurity将在周六举行一场讲座。