Apple 最近宣布在 macOS Sequoia 上阻止对 IP 地址 0.0.0.0 的恶意请求,这是增强浏览器安全性的重要一步。此更新将是 Safari 18 的一项关键功能,该功能也适用于 macOS Sonoma 和 macOS Ventura。
此举是为了应对以色列网络安全初创公司 Oligo Security 发现的零日安全漏洞。该漏洞允许恶意行为者访问用户内部专用网络上的私人数据,该漏洞将在拉斯维加斯举行的 DEF CON 黑客会议上详细介绍。 Oligo Security 的 Avi Lumelsky 解释说,利用此漏洞可以通过访问受害者的内部专用网络来打开广泛的攻击媒介。
研究人员负责任地向苹果、谷歌和 Mozilla 等主要科技公司披露了该漏洞。虽然苹果已经确认 macOS Sequoia 中的 Safari 将阻止任何试图联系 0.0.0.0 IP 地址的网站,但谷歌也宣布了针对 Chrome 的类似计划。然而,Mozilla 尚未针对 Firefox 实施修复,但正在研究该问题。该漏洞影响所有主要浏览器,并且该发现可以追溯到 2006 年的安全问题报告。公共网站可能通过定位 0.0.0.0 而不是 localhost/127.0.0.1 在访问者的硬件上执行代码,这使其成为需要解决的严重缺陷。
该漏洞允许黑客利用浏览器处理对 0.0.0.0 IP 地址的查询的方式,将这些查询重定向到其他 IP 地址,包括通常用于测试开发中代码的“localhost”。这种重定向使黑客能够收集私人数据,甚至在服务器上运行恶意代码。这种漏洞对于 macOS 和 Linux 用户来说尤其成问题,因为微软已经在 Windows 上阻止了 0.0.0.0。在发现该漏洞后,这家库比蒂诺科技巨头宣布将阻止网站访问 macOS Sequoia Beta 中的 0.0.0.0 的所有尝试,并计划未来进行更新。
Apple 的主动措施包括更新 WebKit 以阻止对 0.0.0.0 的访问以及添加对目标主机 IP 地址的检查。谷歌和 Mozilla 也在采取措施缓解这一问题,谷歌推出了 Chrome 和基于 Chromium 的浏览器的更新。虽然 Mozilla 的回应仍在进行中,但该公司正在努力将 Fetch 规范更改为阻止 0.0.0.0。
(通过福布斯)