Компания Oligo Security опубликовала информацию об уязвимости, затрагивающей Chrome, Firefox и Safari, и позволяющей обойти ограничение доступа к сетевым службам, доступным только на локальной системе, через обращение по IP-адресу 0.0.0.0. Первые предупреждения об уязвимости были опубликованы ещё 18 лет назад, но до сих пор проблема так и не была исправлена.
Проблема заключается в том, как браузеры обрабатывают сетевые запросы, что позволяет злоумышленникам с помощью веб-сайтов получить доступ к локальным сервисам и выполнять произвольный код на компьютере пользователя. На Windows устройствах уязвимость не проявляется, так как операционная система блокирует обращения к этому IP-адресу.
В частности, с помощью 0.0.0.0 злоумышленники могут обходить защитные механизмы, такие как Private Network Access (PNA) и CORS, что позволяет им атаковать сервисы, доступные только локальным приложениям. Это может привести к несанкционированному доступу к данным и выполнению кода от имени пользователя, открывая путь для серьёзных кибератак.
Примером таких атак стали инциденты с ShadowRay и Selenium Grid, где атакующие использовали уязвимость для выполнения кода на компьютерах разработчиков. Также отмечается возможность эксплуатации уязвимости в серверах AI-приложений, таких как PyTorch TorchServe.
В ответ на угрозу разработчики браузеров предпринимают шаги для её устранения. Google планирует заблокировать доступ к 0.0.0.0 в следующем обновлении Chrome, а Mozilla работает над изменениями в Firefox для предотвращения атак. Apple также собирается внедрить защитные меры в будущей версии Safari.
Пока разработчики работают над устранением этой уязвимости, пользователям рекомендуется соблюдать осторожность и избегать посещения подозрительных сайтов, особенно с использованием браузеров на уязвимых платформах.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.