Chrome、Firefox、Safari 全部中招
【Windows 沒事 😂】一個 18 年前就被發現的安全漏洞、被稱為「0.0.0.0 Day」,正被黑客利用來攻擊 Google Chrome、Mozilla Firefox 和 Apple Safari瀏覽器上遠端執行程式碼,使用者面臨資料竊取、惡意軟體和其他惡意活動的風險,漏洞只影響 Linux 和 macOS 等類 Unix 作業系統設備,卻不影響 Windows 系統。
據安全機構 Oligo Security 表示,該漏洞存在於瀏覽器設計上允許服務使用 JavaScript 向幾乎任何 HTTP 伺服器發送請求的能力,瀏覽器的主要工作是專注於提供正確的回應,無論是提供對請求的有效回應還是錯誤。
漏洞源於不同瀏覽器間安全機制的不一致,允許公共網站與使用「通配符 IP 地址 0.0.0.0 的本地網絡服務通信卻缺乏標準化,現有的安全機制如跨源資源共享 (CORS) 和私有網絡訪問 (PNA) 均未能阻止這種風險行為。
研究發現,現時已發現多個真實的攻擊案,包括 ShadowRay 和 Selenium Grid 攻撃,黑客可以藉由引導受害者訪問惡意網站,透過「0.0.0.0」這個看似無害的 IP 地址發送惡意請求,進而取得最高權限,盜取用戶資料甚至可進行遠端程式碼執行。
儘管這個問題在 2006 年就被報告,但漏洞至今仍未解決,三大瀏覽器廠商都已承認問題並正在努力修復。
◼️ Google 表示,Chrome 會在版本 128 至 133 之間推出修復。
◼️ Mozilla 表示,Firefox 正在實施臨時修復,但未提供具體日期。
◼️ Apple 表示,Safari 即將發布的版本 18 中阻止對 0.0.0.0 的訪問。
資料來源: