Apple sta correggendo una storica vulnerabilità in Safari per macOS. L’exploit, scoperto da Oligo Security, è una vulnerabilità zero-day che coinvolge l’indirizzo IP 0.0.0.0. Denominato “0.0.0.0 Day” dai ricercatori, e che espone una falla nel modo in cui i browser gestiscono le richieste di rete, che può essere sfruttata per accedere a servizi locali sensibili.

I ricercatori hanno scoperto che i siti web pubblici possono comunicare con i servizi in esecuzione su una rete locale. I siti web possono infatti eseguire codice sull’hardware di un visitatore, semplicemente puntando a 0.0.0.0 invece che a localhost/127.0.0.1.

Si tratta di un bug che esiste da diversi anni, tanto che i ricercatori hanno trovato una segnalazione di un problema di sicurezza che coinvolge l’indirizzo IP già nel 2006. Il problema riguarda inoltre tutti i principali browser e tutte le aziende interessate sono state informate nell’ambito di una divulgazione responsabile.

Per Safari, Apple ha apportato modifiche a WebKit per bloccare l’accesso a 0.0.0.0. Ha altresì aggiunto un controllo all’indirizzo IP dell’host di destinazione, bloccando la richiesta se è tutto a zero. La modifica è stata implementata in Safari 18, incluso nelle versioni beta di macOS Sequoia. Lo stesso problema è stato riscontrato in Mozilla Firefox e Google Chrome: nel caso di Firefox, è in corso una correzione e Mozilla ha modificato le specifiche Fetch per bloccare 0.0.0.0.

Anche Google sta distribuendo aggiornamenti per bloccare l’accesso a 0.0.0.0, che interessano sia gli utenti di Chrome che quelli dei browser basati su Chromium.