新聚网0.0.0.0 Day 漏洞
该团队将该漏洞命名为“0.0.0.0 Day”,可以追溯到 18 年前,黑客主要利用 0.0.0.0 这个看似无害的 IP 地址,攻击本地服务(包括用于开发、操作系统甚至内部网络的服务)。
团队表示这个漏洞暴露了浏览器处理网络请求时存在的一个基本缺陷,可能会让恶意行为者访问本地设备上运行的敏感服务。
这个错误最早可以追溯到 2006 年,Mozilla 公司在 BUG 追踪页面显示了相关问题,在 Chromium BUG 追踪页面显示为 2008 年,但目前两个 BUG 均显示为 Open 状态,没有修复。
主流浏览器均受影响
该机构表示包括 Chromium、Firefox、Safari 在内,所有主流浏览器均存在这个逻辑漏洞。
攻击者可以在 macOS 和 Linux 发行版上,利用该漏洞让公共网站(如以 .com 结尾的域名)访问本地网络(localhost)服务,并可能通过使用 0.0.0.0 地址而不是 localhost / 127.0.0.1 在访问者的主机上执行任意代码。
IT之家从报道中获悉,Windows 系统版本不受影响。
已有证据表明黑客发起攻击
专家们敦促解决这一漏洞,目前已经有证据表明黑客利用该漏洞发起攻击。
根据 Chromium 中的计数器,发送 0.0.0.0 的网站比例正在上升。这些网页可能是恶意的,目前占所有网站的 0.015%。截至 2024 年 8 月,全球有 2 亿个网站,可能有多达约 1 万个公共网站正在使用 0.0.0.0 进行通信。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
未经允许不得转载:新聚网 » 0.0.0.0 Day 漏洞曝光:影响 Chrome、Firefox 和 Safari 在内所有主流浏览器,可追溯到 18 年前
Swift Assist 进化:苹果 Xcode 26 可接入端侧、Claude 等 AI 编程模型
安全公司曝光黑客盗用开发团队账号在 NPM 平台散布恶意软件包,涉及 React Native / GlueStack 项目
英特尔发布 32.0.101.6881 WHQL 显卡驱动,修复《守望先锋 2》游戏崩溃问题
时隔一年半,苹果手记 Journal 应用将随 macOS / iPadOS 26 登陆 Mac / iPad
苹果推出容器化框架,可直接在 Mac 上创建、下载或运行 Linux 容器镜像
微软 Win10 / Win11 新版 Outlook 被曝新问题:重要会议安排凭空消失
Linux 6.16 首个 RC 候选版发布:提升电源管理效率、扩展硬件支持、优化 EXT4 文件系统
