苹果正在修复 macOS 的 Safari 中的一个漏洞,这个漏洞似乎可以追溯到英特尔 Mac 的诞生。
Defcon 黑客大会将于 8 月 8 日至 8 月 11 日在拉斯维加斯举行,会议将讨论新发现的安全问题。其中一个将在长周末举行的讲座将讨论苹果公司正在努力修复的 Safari 的一个问题。
该漏洞由 Oligo Security 发现,是一个涉及 IP 地址 0.0.0.0 的零日漏洞。该漏洞被研究人员称为 "0.0.0.0 日",它暴露了浏览器处理网络请求时的一个漏洞,可被滥用来访问敏感的本地服务。
研究人员发现,公共网站可以与本地网络上运行的服务进行通信。网站只需瞄准 0.0.0.0,而不是 localhost/127.0.0.1,就有可能在访问者的硬件上执行代码。
这是一个存在多年的漏洞。研究人员发现,早在 2006 年就有人报告过涉及 IP 地址的安全问题。
研究人员发现,该问题影响了所有主要浏览器,作为负责任披露的一部分,所有相关公司都已被告知。
对于 Safari,苹果公司对 WebKit 进行了修改,以阻止对 0.0.0.0 的访问,并对目标主机 IP 地址添加了检查,如果该地址全为 0,则会阻止请求。
这一修改作为 Safari 18 的一部分正在实施,它已被纳入 macOS Sequoia 的测试版中。
在 Mozilla Firefox 和 Google Chrome 浏览器中也发现了同样的问题。火狐浏览器正在进行修复,Mozilla 更改了 Fetch 规范以阻止 0.0.0.0。
谷歌也同样推出了阻止访问 0.0.0.0 的更新,影响到 Chrome 浏览器和基于 Chromium 的浏览器用户。
Oligo Security 将在周六举行的 Defcon 的 AppSec Village 上发表演讲。
![[WIN] iTunes v12.13.3](https://www.pcsofter.com/wp-content/uploads/2020/09/2023033115515011.jpg)
![[WIN] Shotcut v24.09.13 中文多语言版](https://www.pcsofter.com/wp-content/uploads/2022/11/2023040109545947.jpg)
![[WIN] Intel Chipset Device Software v10.1.19867.8574](https://www.pcsofter.com/wp-content/uploads/2024/09/2024091415591664.webp)
