Chrome、Firefox、Safari ブラウザの 0.0.0.0 脆弱性に対するパッチ • The Register

Microsoft Edge や Google Chrome などの Chromium ベースのブラウザ、Apple の Safari や Mozilla の Firefox などの WebKit ブラウザなど、ほぼすべての Web ブラウザで長年にわたるセキュリティ上の見落としが解決されました。

これらは、犯罪者がアクセスすべきではないソフトウェア サービスにアクセスするために悪用される可能性があり、実際に悪用されている可能性があります。この脆弱性は、macOS および Linux 上の上記のブラウザ、および場合によっては他のブラウザにも影響しますが、少なくとも Windows には影響しません。

Oligo Security という会社が今月この脆弱性を公開し、IPv4 アドレス 0.0.0.0 に関連しているため、「0.0.0.0 Day」と名付けました。 Mozilla Bugzilla によると、攻撃者は少なくとも 2000 年代後半からこの脆弱性を悪用しているようです。 弦 その時代からのもので、まだ公開されているものとしてリストされています。

Oligo によると、3 つのブラウザ チームはそれぞれ、0.0.0.0 へのすべてのアクセスをブロックすることを約束し、また、localhost の脆弱性を解決するために独自の緩和策を実装することも約束しました。

問題は非常に単純です。脆弱なオペレーティング システム上の脆弱なブラウザで悪意のある Web ページを開くと、そのページは 0.0.0.0 およびその選択したポートにリクエストを送信する可能性があります。このポート上のデバイス上でローカルに実行されている他のサーバーまたはサービスがある場合、これらのリクエストはそこに送信されます。

したがって、macOS または Linux ワークステーションのポート 11223 でサービスを実行していて、そのサービスがファイアウォールの内側にあり、大きなブラウザがローカルホストへの外部リクエストをブロックしているために誰もアクセスできないと想定している場合は、もう一度考えてください。リクエスト 0.0.0.0:11223 は、アクセスした悪意のあるページによってサービスに誘導されます。

実際の悪用という点では可能性は非常に低いですが、何らかのサイトが誤ってローカル エンドポイントに到達したことを発見することは望ましくありません。実際、これが 2024 年に起こるというのは面白いことです。

外部サイトがこの方法でローカルホストにアクセスするのを防ぐためのセキュリティメカニズムが導入されているはずです。正確に、 クロスオリジンリソース共有 (CORS) 仕様、次に最新 プライベート ネットワーク アクセス (PNA)、ブラウザーがパブリック ネットワークと非パブリック ネットワークを区別するために使用し、外部サイトがプライベート ネットワーク上のサーバーやホスティング デバイスと通信する能力を制限することで CORS システムを強化します。

しかし、オリゴのチームはなんとかPNAを突破した。研究者らは、ポート 8080 のローカルホストとしても知られる 127.0.0.1 で実行される偽の HTTP サーバーをセットアップし、0.0.0.0:8080 にリクエストを送信することで、JavaScript を使用して外部の公開サイトからそのサーバーにアクセスできるようにしました。

「これは、公開サイトが応答を確認することなく、ホスト上で開いているポートにアクセスできることを意味します」と Oligo のセキュリティ研究者 Avi Lomelsky 氏は述べています。 報告されています。

それに応じて、Chrome は次のことを行います。 障害物 Chromium 128 から 0.0.0.0 に達すると、Google はこの変更を段階的に展開し、Chrome 133 までに完了する予定です。Apple は、 変更点 0.0.0.0 へのアクセスをブロックするオープン ソース ソフトウェア WebKit にアクセスします。

Mozilla には即時の解決策がなく、Firefox に PNA を実装していません。 Olgio 氏によると、Mozilla 変わります 仕様 (RFC) をフェッチして、そのレポートの後に 0.0.0.0 をブロックします。

Mozilla の広報担当者が派遣 記録 電子メールでの次の声明:

Oligo によると、この研究は PNA の強力な主張を示しています。

「PNA が完全に開始されるまで、公共 Web サイトは Javascript を使用して HTTP リクエストを送信し、ローカル ネットワーク上のサービスに正常にアクセスできます」と Lomelski 氏は書いています。 「これを変えるには、PNA を標準化する必要があり、ブラウザがこの標準に従って PNA を実装する必要があります。」