Существующая уже 18 лет уязвимость позволяет атаковать браузеры через IP 0.0.0.0

Компания Oligo Security опубликовала информацию об уязвимости, затрагивающей Chrome, Firefox и Safari, и позволяющей обойти ограничение доступа к сетевым службам, доступным только на локальной системе, через обращение по IP-адресу 0.0.0.0. Первые предупреждения об уязвимости были опубликованы ещё 18 лет назад, но до сих пор проблема так и не была исправлена.

Проблема заключается в том, как браузеры обрабатывают сетевые запросы, что позволяет злоумышленникам с помощью веб-сайтов получить доступ к локальным сервисам и выполнять произвольный код на компьютере пользователя. На Windows устройствах уязвимость не проявляется, так как операционная система блокирует обращения к этому IP-адресу.

В частности, с помощью 0.0.0.0 злоумышленники могут обходить защитные механизмы, такие как Private Network Access (PNA) и CORS, что позволяет им атаковать сервисы, доступные только локальным приложениям. Это может привести к несанкционированному доступу к данным и выполнению кода от имени пользователя, открывая путь для серьёзных кибератак.

Примером таких атак стали инциденты с ShadowRay и Selenium Grid, где атакующие использовали уязвимость для выполнения кода на компьютерах разработчиков. Также отмечается возможность эксплуатации уязвимости в серверах AI-приложений, таких как PyTorch TorchServe.

В ответ на угрозу разработчики браузеров предпринимают шаги для её устранения. Google планирует заблокировать доступ к 0.0.0.0 в следующем обновлении Chrome, а Mozilla работает над изменениями в Firefox для предотвращения атак. Apple также собирается внедрить защитные меры в будущей версии Safari.

Пока разработчики работают над устранением этой уязвимости, пользователям рекомендуется соблюдать осторожность и избегать посещения подозрительных сайтов, особенно с использованием браузеров на уязвимых платформах.