Apple clôture des anciennes sécurités sur le système de sécurité macOS
JAKARTA - Apple a récemment corrigé d’anciennes lacunes de sécurité dans le Safari pour macOS qui semblaient exister depuis les débuts de l’Intel Mac. Selon des rapports de Defcon, la conférence de piratage qui a eu lieu du 8 au 11 août à Las Vegas, cette lacune a été découverte par Oligo Security.
Connu sous le nom de « 0.0.0.0 Day » est une vulnérabilité de zéro jour impliquant une adresse IP de 0,0.0, et affecte la façon dont le navigateur gère les demandes de réseau. Cette fonctionnalité permet l’accès aux services locaux sensibles via des codes exécutés sur les appareils visiteurs en ciblant (0.0.0.0.0 au lieu de localhost/127.0.0.0.1.
Les chercheurs d’Oligo Security ont découvert que cette lacune existe depuis 2006 et affecte tous les navigateurs principaux. Toutes les entreprises concernées ont été informées dans le cadre d’une divulgation responsable.
Pour Safari, Apple a apporté des modifications à WebKit pour bloquer l’accès à.0.0. Apple a également ajouté des contrôles à l’adresse IP de l’hôte de destination, bloquant les demandes si les adresses étaient toutes zéro.
Les modifications sont appliquées dans le navigateur Safari 18, qui est intégré dans la version bêta de macOS Sequoia.
Le même problème a été trouvé dans Mozilla Firefox et Google Chrome. Firefox est en train de améliorer et a modifié les spécifications de Setch pour bloquer (0.0.0.0. Google lance également une mise à jour pour bloquer l’accès à (0.0.0.0, affectant les utilisateurs de Chrome et les navigateurs basés sur Chrome.