Przeglądarki na Linux i macOS w stresie. Ta luka zabezpieczeń istnieje już… 18 lat

Pisanie o tak nietypowym zagrożeniu bezpieczeństwa jest wręcz zabawne. Otóż 18 lat temu odkryto pewną specyficzną lukę w zabezpieczeniach przeglądarek internetowych. Problem ten do dziś nie został całkowicie rozwiązany.

Problem, który jest starszy od Chrome’a

Luka zabezpieczeń nazwana „0.0.0.0 Day” umożliwia złośliwym witrynom omijanie protokołów bezpieczeństwa w przeglądarkach takich jak Google Chrome, Mozilla Firefox i Apple Safari, wpływając przede wszystkim na urządzenia z systemem Linux i macOS. Nie została ona załatana przez 18 lat. Jakim cudem?

Dziura pozwalająca ominąć zabezpieczenia korzysta z tego, że różne przeglądarki potrafią korzystać z odmiennych mechanizmów bezpieczeństwa, gdy publiczne witryny internetowe próbują komunikować się z lokalnymi usługami sieciowymi przy pomocy „dzikiego” adresu IP 0.0.0.0.

Pierwsza wzmianka o tej nietypowej podatności pochodzi z 2006 roku. Przypomnę tylko, że Google wydało publiczną wersję swojej przeglądarki Chrome dwa lata później – we wrześniu 2008 roku. Wtedy to też ta niewielka luka została szerzej opisana. Czy jest groźna?

Windows bezpieczny, problem ma Linux i macOS

Cóż, luka teoretycznie umożliwia atakującym zdalną zmianę ustawień, dostęp do chronionych informacji i potencjalne wykonywanie kodu na systemach, na których odpalona jest przeglądarka. Muszą zaistnieć przy tym inne specyficzne okoliczności, ale ryzyko jest realne. Najbardziej narażone są Linux i macOS. Zgodnie z raportem Oligo Security, Windows pozostaje bezpieczny.

Badacze zaobserwowali, że choć w sieci jest bardzo mało witryn próbujących wykorzystywać tę lukę, to wciąż powstają nowe. Ostatnimi czasy ich liczba znacznie wzrosła, a nawet zdarzyły się już masowe ataki na infrastrukturę z ich wykorzystaniem – na przykład na serwery Selenium Grid. Wymusiło to odpowiednie działania na producentach oprogramowania.

Strony, które mogą wpłynąć na działanie Linux/macOS
Odsetek witryn mogących skorzystać z “0.0.0.0 Day” jest niewielki, ale to wciąż około 100 tysięcy stron (źródło: Oligo Security)

Google, Apple i inni deweloperzy, którzy udostępniają przeglądarki internetowe, pracują już nad możliwością blokady odwoływania się do adresu IP 0.0.0.0. przez zewnętrzne witryny.

Chrome będzie doraźnie blokować wykorzystanie „0.0.0.0 Day” od wydania bazującego na Chromium 128. Pełna ochrona ma być wdrożona w wersji Chrome 133. Apple zastosowało już odpowiednie zmiany w silniku WebKit, na którym bazuje Safari. Jak na razie Mozilla pracuje nad odpowiednim rozwiązaniem.