0.0.0.0 Day - krytyczna luka w przeglądarkach na macOS i Linuksie, którą jedna z firm poznała 18 lat temu. Do dziś nic się nie zmieniło

Pewien producent przeglądarki internetowej w 2006 roku dowiedział się o istnieniu luki, która pozwalała publicznym stronom internetowym dostać się do lokalnych zasobów na komputerze. Lata mijały, a zgłoszenie błędu użytkownika było zamykane i ponownie przywracane (w międzyczasie zmieniano jego status na poważny lub krytyczny). Minęło 18 lat, a omawiana firma nadal nie wie, czy jest sens naprawić tę krytyczną lukę. Tym przedsiębiorstwem jest Mozilla.

Wszystkie przeglądarki internetowe przez ponad 18 lat pozwalały każdemu cyberprzestępcy skorzystać z luki 0.0.0.0 Day. Mozilla jako pierwsza wiedziała o tym problemie, a jednak nadal nie wie, kiedy coś się w tej kwestii zmieni.

Windows posiada luki, które pozwalają downgrade'ować wersję systemu i uczynić go podatnym na starsze zagrożenia

Luka o nazwie 0.0.0.0 Day wiąże się z obejściem zabezpieczeń przeglądarek internetowych, a sposób działania jest całkiem prosty. Publiczne strony internetowe mogą bowiem wysyłać żądania przez protokół HTTP na tytułowy adres sieciowy, dzięki czemu są w stanie uzyskać dostęp do lokalnych usług na komputerach użytkowników (w szczególności do prywatnego adresu lokalnego hosta, czyli 127.0.0.1). W takiej sytuacji cyberprzestępca może nawet zdalnie wykonać określony kod na danym sprzęcie. Obecnie liczba takich stron, które mogą wykorzystać komunikację z adresem 0.0.0.0 do niecnych celów, wynosi ponad 100 tys. Podatność istnieje już od ponad 18 lat i jak wspomniano, pierwsza dowiedziała się o niej Mozilla, natomiast występowała nie tylko na Firefoksie, ale i Google Chrome oraz Safari. Z kolei jedynymi poszkodowanymi systemami są macOS i dystrybucje Linuksa, ponieważ na Windowsie od samego początku problem nie istniał.

Internet Explorer został wycofany, ale nadal był wykorzystywany do ataków hakerskich w systemach Windows 10 i 11

Badacze z Oligo Security, którzy nie tak dawno odkryli tę lukę i przeprowadzili spory research, zwrócili się do głównych twórców przeglądarek internetowych, aby wprowadzili odpowiednie zabezpieczenia. Przeglądarka Chromium 128 blokuje już adres 0.0.0.0, a samo Google ukończy wprowadzanie stosownej poprawki w Chrome w wersji 133 (gdyż luka omijała mechanizm Private Network Access (PNA)). Apple dokonało już z kolei zmian w Safari, a konkretniej w silniku WebKit, z którego korzysta, więc także nie trzeba się martwić. Pozostaje Mozilla, która nadal nie wdrożyła pełnej poprawki, a jej przeglądarka internetowa Firefox wciąż nie korzysta z mechanizmu PNA. Plany na zmianę sytuacji są... dość odległe. Artykuł dotyczący omawianej luki jest bardzo obszerny, więc jeśli chcemy dowiedzieć się więcej, to warto zajrzeć pod ten adres.

Mozilla wiedziała o błędzie już 18 lat temu i... do tej pory nie zrobiła z tym nic.