Scoprono una vulnerabilità che colpisce Safari, Chrome e Firefox da 18 anni

Scoprono una vulnerabilità che colpisce Safari, Chrome e Firefox da 18 anni

Madrid (Portaltic/EP) – I ricercatori di sicurezza informatica hanno recentemente scoperto una vulnerabilità di 0.0.0.0 giorni che consentiva ai criminali informatici di accedere ai browser Safari, Chromium e Firefox attraverso la rete locale di varie organizzazioni e personal computer.

Il team di Oligo Security ha scoperto questa vulnerabilità zero-day nei principali browser, che consente ai siti Web esterni di comunicare ed esplorare software in esecuzione su MacOS e Linux. Ciò significa che Windows sarà esente da questo problema.

Gli specialisti hanno affermato che l’impatto di questa vulnerabilità, nota come 0.0.0.0 Day, è di “ampia portata” e colpisce singoli utenti, organizzazioni e aziende, secondo una dichiarazione sul loro blog.

Questa vulnerabilità, i cui primi segnali sono stati segnalati nel 2006, lascia la porta aperta ai criminali informatici per accedere ai servizi riservati in esecuzione sui dispositivi locali tramite i browser web Chromium (Google), Firefox (Mozilla) e Safari (Apple).

Nello specifico, il problema deriva da un indirizzo IP apparentemente innocuo, 0.0.0.0, che “potrebbe diventare uno strumento” utilizzato da malintenzionati per sfruttare servizi locali ed eseguire codice dannoso.

Questo perché i siti web pubblici (come quelli che offrono un dominio .com) possono connettersi ai servizi in esecuzione sulla rete locale (localhost) dei computer di destinazione e potenzialmente eseguire codice arbitrario sull'”host” dell’utente utilizzando l’indirizzo 0.0.0.0.

I ricercatori hanno anche sottolineato che un utente aveva segnalato questo bug a Mozilla nel 2006, quando aveva affermato che siti pubblici avevano attaccato il suo router sulla rete interna, in un momento in cui “le reti interne e Internet in generale erano insicure fin dalla progettazione”.

All’epoca molti servizi erano privi di autenticazione e i certificati di sicurezza SSL e HTTPS non erano diffusi su tutte le pagine web, per cui molte di esse venivano caricate tramite un indirizzo HTTP non sicuro.

READ  L'ambiziosa proposta dei ricercatori cinesi per salvare il pianeta da possibili impatti di asteroidi

Sebbene questo bug sia stato segnalato, nei 18 anni trascorsi da allora ad oggi, “questo problema è stato chiuso, riaperto e riclassificato come serio e critico”, ma non è stata intrapresa alcuna azione per risolverlo.

Sono state adottate misure

Oligo Security ha osservato che dopo che la falla è stata divulgata “responsabilmente”, i documenti RFC (Request for Comment) sono stati condivisi, con alcuni browser “che presto bloccheranno completamente l’accesso a 0.0.0.0”.

Infatti, Apple ha confermato a Forbes che sta apportando una serie di modifiche alla versione beta del suo ultimo sistema operativo, macOS Sequoia, per risolvere il problema.

Tuttavia, la società di sicurezza informatica ha avvertito che Apple ha apportato “modifiche significative a WebKit” per impedire l’accesso a 0.0.0.0 e ha aggiunto un segno di spunta all’indirizzo IP dell’“host” di destinazione. In questo modo, nel momento in cui determina che la richiesta è tutta zero, viene bloccata.

Chrome, da parte sua, ha condiviso il suo sito Web, sottolineando che “rimuove l’accesso diretto agli endpoint della rete privata dai siti Web pubblici come parte della specifica Private Network Access (PNA)”.

Lo fa a partire da Chromium 128, una modifica che implementerà “gradualmente nelle versioni successive” per essere completata in Chrome 133. In questo momento, “l’intero indirizzo IP di tutti gli utenti Chrome e Chromium sarà bloccato”, secondo Oligo Security. .

Mozilla, al momento, non ha rilasciato una soluzione immediata per Firefox, anche se ne è in lavorazione una. In effetti, i ricercatori hanno sottolineato che il browser “non ha mai limitato l’accesso alla rete privata, quindi, tecnicamente, è sempre stato consentito”. Tuttavia, ha modificato le specifiche RFC e ha dato priorità all’implementazione del PNA, sebbene non sia stato completato.

READ  Il confronto “fuorviante” tra Advanced Futre e Fantasy FC+ Alternative

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back To Top