AppleはmacOS Safariの古代セキュリティギャップをカバー

ジャカルタ - Appleは最近、Intel Macの初期の時代から存在していたと思われるmacOSのSafariの古いセキュリティギャップを修正しました。

「0.0.0.0 Day」として知られるこのバグは、IP0.0.0.0アドレスを含むゼロデイ脆弱性であり、ブラウザがネットワーク要求を処理する方法に影響を与えます。このギャップにより、ローカルホスト/127.0.1 ではなく-0.0.0.0をターゲットにすることで、訪問者のデバイスで実行されるコードを介して機密のローカルサービスにアクセスできます。

Oligo Securityの研究者は、この抜け穴が2006 年以来存在し、すべての主要なブラウザに影響を与えていることを発見しました。すべての関連会社は、責任ある開示の一環として通知されています。

Safariの場合、AppleはWebKitに変更を加えて0.0.0へのアクセスをブロックしました。Appleはまた、宛先のホストのIPアドレスのチェックを追加し、アドレスがすべてゼロの場合のリクエストをブロックしました。

この変更は、macOS Sequoia のベータ版に含まれる Safari 18 に適用されます。

同じ問題がMozilla FirefoxとGoogle Chromeで発見されました。Firefox は修正中であり、Fetch 仕様を変更して 0.0.0 をブロックしました。Google はまた、0.0.0.0 へのアクセスをブロックするアップデートを展開しており、Chrome ユーザーと Chromium ベースのブラウザに影響を与えています。