Scoperta una vulnerabilità nei browser
I ricercatori di Oligo hanno recentemente scoperto una grave vulnerabilità, denominata 0.0.0.0 Day, che interessa i principali browser da almeno 18 anni. Questa vulnerabilità consente ai siti web di interagire con i servizi locali attraverso l’indirizzo IP 0.0.0.0, violando le normative della RFC 1122. Chrome, Firefox e Safari sono i browser coinvolti, con gravi implicazioni per la sicurezza di macOS e Linux. Google, Mozilla e Apple sono ora impegnati nel trovare una soluzione definitiva per questa falla di sicurezza.
Descrizione della vulnerabilità 0.0.0.0 Day
Secondo la RFC 1122, l’indirizzo IP 0.0.0.0 non dovrebbe mai essere utilizzato come destinazione IPv4. Tuttavia, i principali browser hanno permesso l’uso di questo indirizzo, consentendo ai siti web esterni di comunicare con i servizi eseguiti localmente sui sistemi macOS e Linux. Windows sembra essere esente da questa vulnerabilità.
Il rischio è che un sito web malevolo possa inviare richieste all’indirizzo 0.0.0.0 per accedere a servizi locali, potenzialmente eseguendo codice arbitrario sul dispositivo della vittima. Questo potrebbe portare al furto di file, credenziali e altri dati sensibili, compromettendo non solo il dispositivo, ma anche i server web collegati alla rete locale.
Impatto su macOS e Linux
La vulnerabilità 0.0.0.0 Day interessa specificamente i sistemi operativi macOS e Linux, lasciando gli utenti di Windows relativamente sicuri da questo particolare exploit. I sistemi operativi UNIX-like sono più vulnerabili poiché molti servizi locali utilizzano indirizzi IP come 127.0.0.1 (localhost), e il browser può essere ingannato a reindirizzare richieste a 0.0.0.0. Questo bug rappresenta un rischio significativo per i sistemi operativi utilizzati frequentemente in ambito di sviluppo e server.
Reazioni dei produttori di browser
Google, Apple e Mozilla hanno riconosciuto la gravità del problema e stanno lavorando su correzioni. Google ha annunciato che il blocco dell’accesso all’indirizzo 0.0.0.0 sarà implementato a partire dalla versione Chrome 128. Apple ha già risolto il problema nella beta di macOS 15 Sequoia, mentre Mozilla è più cauta, poiché il blocco dell’indirizzo potrebbe causare problemi di compatibilità con alcuni server che utilizzano 0.0.0.0 come indirizzo locale.
Tabella dei browser coinvolti
| Browser | Versione | Stato della vulnerabilità | Risoluzione prevista |
|---|---|---|---|
| Chrome | 128 | Vulnerabile | Fix previsto con Chrome 128 |
| Safari | 15 Beta | Vulnerabile | Risolto nella beta di macOS 15 |
| Firefox | N/A | Vulnerabile | Fix in valutazione |
Consigli per gli utenti
In attesa delle correzioni ufficiali, gli esperti di Oligo raccomandano di prendere misure preventive per proteggere i servizi locali. È consigliabile limitare l’accesso ai servizi locali solo alle interfacce di loopback (ad es. 127.0.0.1), disabilitando l’accesso da indirizzi non autorizzati come 0.0.0.0. Inoltre, l’implementazione di firewall che bloccano le richieste non autorizzate può essere un ulteriore livello di protezione.
un problema da risolvere
La vulnerabilità 0.0.0.0 Day è un esempio lampante di come una falla di sicurezza possa rimanere inosservata per anni, mettendo a rischio milioni di utenti. Mentre i produttori di browser lavorano per risolvere il problema, è essenziale che gli utenti rimangano vigili e adottino le misure di sicurezza suggerite per proteggere i propri sistemi.
Con questa vulnerabilità ancora attiva, è cruciale che gli sviluppatori e gli utenti finali siano consapevoli dei rischi e agiscano di conseguenza. Mantenere aggiornati i browser e seguire le linee guida di sicurezza può aiutare a mitigare il rischio di attacchi che sfruttano 0.0.0.0 Day.
