Apple está solucionando una vulnerabilidad en Safari En el caso de macOS, esto parece remontarse a los albores de las Mac con Intel.
El Desconfinamiento Del 8 al 11 de agosto se celebrará en Las Vegas una conferencia sobre piratería informática en la que se hablará de problemas de seguridad descubiertos recientemente. Una de las charlas que se celebrará durante el fin de semana largo tratará de un problema con Safari que Apple ha trabajado para solucionar.
El explotardescubierta por Oligo Security, es una vulnerabilidad de día cero que afecta a la dirección IP 0.0.0.0. Los investigadores la han denominado “0.0.0.0 Day” y expone una falla en la forma en que los navegadores manejan las solicitudes de red, que pueden utilizarse para acceder a servicios locales sensibles.
Los investigadores descubrieron que los sitios web públicos pueden comunicarse con servicios que se ejecutan en una red local. Es posible que los sitios web ejecuten código en el hardware de un visitante simplemente apuntando a 0.0.0.0 en lugar de localhost/127.0.0.1.
Se trata de un error que existe desde hace muchos años. Los investigadores encontraron un informe de un problema de seguridad relacionado con la dirección IP que data de 2006.
El problema afecta a los principales navegadores, descubrieron los investigadores, y todas las empresas relacionadas fueron informadas como parte de una divulgación responsable.
En el caso de Safari, Apple ha realizado cambios en WebKit para bloquear el acceso a 0.0.0.0. También ha añadido una marca de verificación en la dirección IP del host de destino, que bloquea la solicitud si está compuesta por todos ceros.
Este cambio se está implementando como parte de Safari 18, que está incluido en las versiones beta de macOS Sequoia.
Se ha detectado el mismo problema en Mozilla Firefox y Google Chrome. En el caso de Firefox, hay una solución en proceso y Mozilla ha cambiado la especificación Fetch para bloquear 0.0.0.0.
Google también está implementando actualizaciones para bloquear el acceso a 0.0.0.0, lo que afecta tanto a los usuarios de Chrome como de los navegadores basados en Chromium.
Se realizará una charla de Oligo Security en el marco del Pueblo de seguridad de aplicaciones de Defcon el sábado.
