Patch untuk kerentanan 0.0.0.0 di browser Chrome, Firefox dan Safari • The Register

Pengawasan keamanan selama bertahun-tahun telah ditangani di hampir semua browser web — browser berbasis Chromium, termasuk Microsoft Edge dan Google Chrome, serta browser WebKit seperti Safari milik Apple dan Firefox milik Mozilla.

Mereka dapat dan telah dieksploitasi oleh penjahat untuk mengakses layanan perangkat lunak yang seharusnya tidak dapat mereka akses. Kerentanan ini memengaruhi browser yang disebutkan di atas di macOS dan Linux – dan mungkin browser lain – tetapi setidaknya tidak di Windows.

Sebuah perusahaan bernama Oligo Security mengungkapkan kerentanannya bulan ini dan menamakannya 0.0.0.0 Hari karena berkaitan dengan alamat IPv4 0.0.0.0. Tampaknya penyerang telah menyalahgunakan kerentanan ini setidaknya sejak akhir tahun 2000an – berdasarkan Mozilla Bugzilla rangkaian dari era itu, yang masih terdaftar sebagai terbuka.

Menurut Oligo, masing-masing dari tiga tim browser telah berjanji untuk memblokir semua akses ke 0.0.0.0, dan mereka juga berjanji untuk menerapkan mitigasi mereka sendiri untuk menutup kerentanan localhost.

Masalahnya sangat sederhana: Jika Anda membuka halaman web berbahaya di browser yang rentan pada sistem operasi yang rentan, halaman tersebut dapat mengirimkan permintaan ke 0.0.0.0 dan port pilihannya. Jika Anda memiliki server atau layanan lain yang berjalan secara lokal di perangkat Anda pada port ini, permintaan ini akan diarahkan ke sana.

Jadi, jika Anda memiliki layanan yang berjalan di workstation macOS atau Linux pada port 11223, dan Anda berasumsi bahwa tidak ada yang dapat mengaksesnya karena layanan tersebut berada di balik firewall Anda, dan browser besar Anda memblokir permintaan eksternal ke localhost, pikirkan lagi karena browser tersebut akan memblokir permintaan eksternal ke localhost. Permintaan 0.0.0.0:11223 diarahkan oleh halaman berbahaya yang Anda kunjungi ke layanan Anda.

Kemungkinannya sangat kecil dalam hal eksploitasi praktis – namun Anda tentu tidak ingin mengetahui bahwa beberapa situs telah mendarat di titik akhir lokal Anda secara tidak sengaja. Faktanya, lucunya hal ini akan terjadi pada tahun 2024.

Seharusnya ada mekanisme keamanan untuk mencegah situs eksternal mengakses localhost Anda dengan cara ini. dengan tepat, Berbagi Sumber Daya Lintas Asal (CORS) Spesifikasi, lalu yang terbaru Akses Jaringan Pribadi (PNA)yang digunakan browser untuk membedakan antara jaringan publik dan non-publik, dan meningkatkan sistem CORS dengan membatasi kemampuan situs eksternal untuk berkomunikasi dengan server di jaringan pribadi dan perangkat hosting.

Namun tim asuhan Oligo berhasil melewati PNA. Para peneliti menyiapkan server HTTP palsu yang berjalan pada 127.0.0.1, juga dikenal sebagai localhost, pada port 8080, dan kemudian dapat mengaksesnya dari situs publik eksternal menggunakan JavaScript, dengan mengirimkan permintaan ke 0.0.0.0:8080.

“Ini berarti situs publik dapat mengakses port terbuka apa pun di host Anda, tanpa dapat melihat responsnya,” kata peneliti keamanan Oligo, Avi Lomelsky. Telah dilaporkan.

Sebagai tanggapan, Chrome akan: penghalang jalan Mencapai 0.0.0.0 dimulai dengan Chromium 128, Google akan meluncurkan perubahan ini secara bertahap untuk diselesaikan oleh Chrome 133. Apple telah Perubahan ke perangkat lunak sumber terbuka WebKit yang memblokir akses ke 0.0.0.0.

Mozilla tidak memiliki solusi langsung dan belum mengimplementasikan PNA di Firefox. Menurut Olgio, Mozilla Itu berubah Ambil spesifikasi (RFC) untuk memblokir 0.0.0.0 setelah laporannya.

Juru bicara Mozilla mengirim Catatan Berikut pernyataan melalui email:

Menurut Oligo, penelitian ini memberikan alasan yang kuat untuk PNA.

“Sampai PNA diluncurkan sepenuhnya, situs web publik dapat mengirimkan permintaan HTTP menggunakan Javascript agar berhasil mengakses layanan di jaringan lokal,” tulis Lomelski. “Agar hal ini berubah, kita perlu melakukan standarisasi PNA, dan kita memerlukan browser untuk mengimplementasikan PNA sesuai dengan standar ini.”