Falha com 18 anos quebra segurança no Chrome, Firefox e Safari

Um relatório recente veio colocar a nu uma falha que não se esperava. Os utilizadores do Chrome, Firefox e Safari estão vulneráveis a uma falha de segurança que pode dar acesso a redes domésticas e empresariais. Esta falha dá forma aos atacantes para explorarem, enviando pedidos nefastos para um endereço IP específico (0.0.0.0) para entrar na rede interna.

Chrome Firefox Safari 0.0.0.0 segurança

Falha com 18 anos coloca em risco a segurança

Este problema, conhecido como falha de "0.0.0.0-dias", afeta o Chrome, o Firefox e o Safari, mas apenas em computadores macOS e Linux. Os computadores Windows não correm risco. As empresas que desenvolvem e mantêm os browsers sabem do problema e trabalham para o corrigir. No entanto, os utilizadores do macOS e do Linux estão ainda vulneráveis ​​por agora.

A exploração da falha usa um método antigo e que existe há 18 anos. Embora a segurança tenha melhorado, este método ainda é uma vulnerabilidade. A publicação que revelou o problema explica como este foi encontrado e menciona especificamente um antigo relatório de bug do Firefox, onde um utilizador disse que os sites públicos atacaram o seu router na rede interna.

Desde então, tem sido procurado impedir que os sites públicos acedam a redes privadas. A Google criou a especificação Private Network Access (PNA) para proteger os utilizadores contra ataques a routers e outros dispositivos de rede privada. A PNA restringe o envio de pedidos de sites públicos para endereços IP locais privados, como 127.0.0.1 ou 192.168.1.1.

Chrome Firefox Safari 0.0.0.0 segurança

Chrome, Firefox e Safari afetados no Linux e macOS

No entanto, a Oligo descobriu que o endereço IP 0.0.0.0 não está na lista de endereços privados ou locais protegidos. Usou o 0.0.0.0 para realizar o ataque ShadowRay, que usa um ponto fraco na estrutura Ray AI. Isto provou que o Safari, Firefox, Chrome e outros browsers Chromium têm um problema de segurança grave que ainda precisa de ser corrigido.

As equipas de segurança dos browsers afetados pela falha "0.0.0.0-dias" foram notificadas em abril. Desde então, o problema foi reconhecido e a maioria trabalha para o corrigir. O Chrome bloqueará gradualmente o acesso ao 0.0.0.0 para todos os utilizadores do Chrome e do Chromium, começando com o Chrome 128 e terminando no Chrome 133.

A Apple alterou o WebKit para bloquear o acesso ao 0.0.0.0 para os utilizadores do Safari. Estas alterações estarão no Safari 18, atualmente disponível na versão beta do macOS Sequoia. As versões mais antigas do macOS também receberão a atualização do Safari 18 para corrigir o problema.

Chrome Firefox Safari 0.0.0.0 segurança

Atualizações para se proteger do 0.0.0.0

No entanto, os utilizadores do Firefox podem ter de esperar um pouco mais por uma correção. A Mozilla revelou que o bloqueio do 0.0.0.0 pode causar problemas aos servidores que utilizam este endereço, pelo que ainda não o bloquearam, mas prevêem fazê-lo no futuro.

Quem usa o Chrome ou o Safari, deve manter o browser atualizado para garantir que tem as atualizações de segurança mais recentes. Os utilizadores do Firefox podem precisar de esperar um pouco mais por uma correção. No entanto, e como sempre, deve ser tido cuidado ao clicar em links suspeitos ou ao descarregar anexos de fontes desconhecidas.

O que você está lendo é [Falha com 18 anos quebra segurança no Chrome, Firefox e Safari].Se você quiser saber mais detalhes, leia outros artigos deste site.

Wonderful comments

    Login You can publish only after logging in...