苹果关闭了一个古老的 macOS Safari 安全漏洞

微信扫一扫,分享到朋友圈

苹果关闭了一个古老的 macOS Safari 安全漏洞

苹果正在修复 macOS 的 Safari 中的一个漏洞,这个漏洞似乎可以追溯到英特尔 Mac 的诞生。

Defcon 黑客大会将于 8 月 8 日至 8 月 11 日在拉斯维加斯举行,会议将讨论新发现的安全问题。其中一个将在长周末举行的讲座将讨论苹果公司正在努力修复的 Safari 的一个问题。

苹果关闭了一个古老的 macOS Safari 安全漏洞插图

该漏洞由 Oligo Security 发现,是一个涉及 IP 地址 0.0.0.0 的零日漏洞。该漏洞被研究人员称为 "0.0.0.0 日",它暴露了浏览器处理网络请求时的一个漏洞,可被滥用来访问敏感的本地服务。

研究人员发现,公共网站可以与本地网络上运行的服务进行通信。网站只需瞄准 0.0.0.0,而不是 localhost/127.0.0.1,就有可能在访问者的硬件上执行代码。

这是一个存在多年的漏洞。研究人员发现,早在 2006 年就有人报告过涉及 IP 地址的安全问题。

研究人员发现,该问题影响了所有主要浏览器,作为负责任披露的一部分,所有相关公司都已被告知。

对于 Safari,苹果公司对 WebKit 进行了修改,以阻止对 0.0.0.0 的访问,并对目标主机 IP 地址添加了检查,如果该地址全为 0,则会阻止请求。

这一修改作为 Safari 18 的一部分正在实施,它已被纳入 macOS Sequoia 的测试版中。

在 Mozilla Firefox 和 Google Chrome 浏览器中也发现了同样的问题。火狐浏览器正在进行修复,Mozilla 更改了 Fetch 规范以阻止 0.0.0.0。

谷歌也同样推出了阻止访问 0.0.0.0 的更新,影响到 Chrome 浏览器和基于 Chromium 的浏览器用户。

Oligo Security 将在周六举行的 Defcon 的 AppSec Village 上发表演讲。

上一篇

Android 15 或将平板电脑任务栏引入手机

下一篇

苹果 iPadOS / iOS 17.6.1 和 macOS Sonoma 14.6.1 IPSW 固件下载

你也可能喜欢

评论已经被关闭。

插入图片

排行榜

返回顶部