macOS 和 Linux 上的主要瀏覽器受到嚴重的 0.0.0.0-Day 漏洞影響
最近發現的一個安全漏洞被稱為 0.0.0.0-day 漏洞,影響了 macOS 和 Linux 系統上的 Google Chrome、Mozilla Firefox 和 Apple Safari 瀏覽器。這個可能已存在 18 年的漏洞,可能允許惡意網站訪問內部網路和裝置。
漏洞解釋
網路安全公司 Oligo 發現了這個漏洞,它利用了瀏覽器處理 IP 地址 0.0.0.0 請求的方式。這個地址不包括在受保護的私有或本地地址列表中,使攻擊者能夠繞過像 Google 的私有網路訪問(PNA)規範等安全措施。
關於這個漏洞的要點:
- 影響 macOS 和 Linux 上的 Chrome、Firefox 和 Safari
- Windows 系統由於系統級別阻止 0.0.0.0 而不受影響
- 可能自 2006 年以來就可被利用
- 允許公共網站與本地網路上的服務通訊
影響和範圍
雖然可能利用這個漏洞的網站比例相對較小(根據 Chromium 計數器顯示為 0.015%),但考慮到活躍網站的總數,可能有多達 10 萬個網站受到影響。目前仍不清楚有多少惡意行為者在利用這個漏洞。
瀏覽器廠商的回應
主要瀏覽器開發商正在採取措施解決這個漏洞:
- Google Chrome:從 Chrome 128 到 133 版本逐步阻止對 0.0.0.0 的訪問
- Apple Safari:在 WebKit 中已被阻止,修復將在 Safari 18(目前為測試版)中推出
- Mozilla Firefox:計劃在未來阻止 0.0.0.0,但由於可能的伺服器問題,目前沒有立即修復
使用者應該做什麼
- 保持瀏覽器更新,確保擁有最新的安全補丁
- 點選來自未知來源的連結或下載附件時要謹慎
- macOS 和 Linux 使用者在所有瀏覽器補丁完全實施之前應特別警惕
這個事件提醒我們,即使是長期使用和廣泛應用的軟體也可能存在重大安全漏洞。它也突顯了持續進行安全研究以及軟體開發商迅速採取行動解決漏洞的重要性。