Apple sta correggendo una storica vulnerabilità in Safari per macOS. L’exploit, scoperto da Oligo Security, è una vulnerabilità zero-day che coinvolge l’indirizzo IP 0.0.0.0. Denominato “0.0.0.0 Day” dai ricercatori, e che espone una falla nel modo in cui i browser gestiscono le richieste di rete, che può essere sfruttata per accedere a servizi locali sensibili.
I ricercatori hanno scoperto che i siti web pubblici possono comunicare con i servizi in esecuzione su una rete locale. I siti web possono infatti eseguire codice sull’hardware di un visitatore, semplicemente puntando a 0.0.0.0 invece che a localhost/127.0.0.1.
Si tratta di un bug che esiste da diversi anni, tanto che i ricercatori hanno trovato una segnalazione di un problema di sicurezza che coinvolge l’indirizzo IP già nel 2006. Il problema riguarda inoltre tutti i principali browser e tutte le aziende interessate sono state informate nell’ambito di una divulgazione responsabile.
Per Safari, Apple ha apportato modifiche a WebKit per bloccare l’accesso a 0.0.0.0. Ha altresì aggiunto un controllo all’indirizzo IP dell’host di destinazione, bloccando la richiesta se è tutto a zero. La modifica è stata implementata in Safari 18, incluso nelle versioni beta di macOS Sequoia. Lo stesso problema è stato riscontrato in Mozilla Firefox e Google Chrome: nel caso di Firefox, è in corso una correzione e Mozilla ha modificato le specifiche Fetch per bloccare 0.0.0.0.
Anche Google sta distribuendo aggiornamenti per bloccare l’accesso a 0.0.0.0, che interessano sia gli utenti di Chrome che quelli dei browser basati su Chromium.
I nostri contenuti da non perdere:
- 🔝 Importante: Recensione Nuki Smart Lock Ultra: bella, futuristica, funzionale
- 💻 Troppi portatili al Black Friday? Andate sul sicuro con queste offerte MSI
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo