ほぼ 20 年にわたり、ハッカーは Chrome、Firefox、Safari のこのセキュリティ上の欠陥を悪用してデータを盗むことができました。

主要なインターネット ブラウザに重大なセキュリティ上の欠陥があるため、サイバー攻撃に対して脆弱になっています。 20年近く存在していたにもかかわらず、最近発見されました。

クレジット: 123RF

インターネットブラウザ免疫がないサイバー攻撃。他のすべてのソフトウェアと同様に脆弱性があり、それが理由ですそれらを埋めるために定期的なアップデートが行われます。ここで問題となっているものは、私たちが知っているという意味で特別なものです。少なくとも18年間は存在している。これにもかかわらず、それはまだ修正されていません。最近スタートアップの Oligo によって発見され、「」と名付けられました。0.0.0.0日」、有名な「ゼロデイ」の欠陥に言及しています。

0 のシーケンスは、「一般」IP アドレスこれは、たとえばサーバーの場合、ローカル マシンのすべての IPv4 アドレスとみなされます。問題はWebブラウザのやり方にあるクロムサファリなどFirefoxIP 0.0.0.0 へのリクエストを処理します。要約すると、ハッカーはこれを次の目的で使用できます。ローカルで実行されているプログラムにアクセスするなどリモートコマンドを発行する。関心事だけを考えた開いたドアmacOSなどLinux数年前にアドレス 0.0.0.0 をブロックしました。

Chrome、Safari、Firefox にはほぼ 20 年前のセキュリティ上の欠陥がある

脆弱性を認識しているハッカーによって盗まれるリスクは何ですか? 「開発者コードと内部メッセージングは​​、すぐにアクセスできる情報の良い例です。しかし、より重要なのは、0.0.0.0-day を悪用すると、攻撃者は次のことを可能にする可能性があります。被害者の内部プライベートネットワークにアクセスする、幅広い攻撃ベクトルへの扉を開く」と Oligo の Avi Lumelsky 氏は説明します。彼は次のように述べています。攻撃者はこのマシン上に存在するあらゆるものを手に入れることができます: ファイル、メッセージ、識別子”。

こちらもお読みください –Google Chrome: 研究者らによると、すべての拡張機能がパスワードを盗む可能性がある

それが主なものであれば、Webサーバーを使用する個人および企業(検査など)最も危険にさらされているのは誰ですか、潜在的なターゲットは彼らだけではありません。広く使用されているソフトウェアはローカル操作に依存しており、サイズに偏りが見られる場合があります。 Avi Lumelsky 氏は、次のように指摘しています。これらのサービスは、サーバーがインストールされる環境が適切であると誤って想定していることがよくあります。強制的、つまりアクセスを許可する内容が制限されている。これはめったに起こりませんが、その結果、安全でないサーバーのセットアップ

「0.0.0.0-day」の脆弱性から身を守るにはどうすればよいでしょうか?

この脆弱性の存在がわかったので、問題はこの脆弱性の悪用をどのように回避するかです。明確にしておきます:自分のレベルに合わせて何もする必要はありません。影響を受ける Web ブラウザが更新されて欠陥が解消されるまで待つ必要があります。アップルでは、macOS Sequoia の次期ベータ版それを処理して前のバージョンに引き継ぎます。macOS ソノマ。最も古いものについては、何が起こるかはまだわかりません。

Google側では、アドレス 0.0.0.0 へのアクセスは、Chrome バージョン 128 から段階的にブロックされます(この記事の公開時点での年齢は 127 です)。全面ブロックはChrome 133から有効になります。

こちらもお読みください –この欠陥により、Windows が過去に戻ってしまい、PC が非常に脆弱になります。

Firefox については、しばらく待つ必要があります。 Mozilla の広報担当者は次のように述べています。Firefox は提案された制限を何も実装していません「そしてこれは」という程度により厳しい制限を課すことは、互換性の問題を引き起こす重大なリスクを伴います”。したがって、会社は「」まで何もしません。標準に関する議論と、これらの互換性リスクを理解するための作業が進行中です”。

Oligo の共同創設者である Gal Elbaz 氏は、この現状が長く続かないことを望んでいます。彼にとって、0.0.0.0 日の欠陥に関連するリスクは非常に現実的であり、無視するには重要すぎる。彼の要約は実にぞっとするものである。0.0.0.0 を許可すると、実質的にすべてを許可することになります。”。

ソース :フォーブス