Une faille vieille de 18 ans affecte Safari, Chrome et Firefox sur Mac et Linux
Apple, Google et Mozilla travaillent sur un patch pour leurs navigateurs respectifs — Safari, Chrome et Firefox — pour combler une faille vieille de… 18 ans !
Les chercheurs en sécurité de la startup Oligo ont découvert une faille dans les principaux navigateurs web du marché fonctionnant sous macOS et Linux. Cette vulnérabilité concerne la manière dont sont traitées les requêtes envoyées à l’adresse 0.0.0.0. Elles sont souvent utilisées pour tester du code en développement sur des serveurs privés.
Un défaut critique, mais de portée limitée
Safari, Chrome et Firefox redirigent ces requêtes vers des adresses IP internes, telles que « localhost ». Les pirates informatiques peuvent exploiter cette vulnérabilité en envoyant des requêtes malveillantes à l’adresse 0.0.0.0, ce qui leur permet d’accéder aux données privées et aux réseaux internes des utilisateurs.
La faille affecte principalement les utilisateurs individuels et les entreprises qui hébergent des serveurs Web, ce qui limite la portée des attaques. De plus, la vulnérabilité dépend de la présence d’applications spécifiques qui utilisent « localhost » et peuvent être atteintes via 0.0.0.0 ; il peut s’agir d’applications de développement ou de frameworks d’IA.
De plus, et c’est sans doute le plus important, la vulnérabilité ne concerne pas Windows, pour une fois : Microsoft a choisi de bloquer les requêtes à l’adresse 0.0.0.0 sur son système d’exploitation ! macOS et Linux sont en revanche directement concernés.
Mais ces attaques ne sont pas virtuelles : un chercheur en sécurité de Google écrivait en juin que plusieurs rapports avaient été soumis sur des malwares exploitant cette faille pour attaquer des outils de développement.
Apple a confirmé Forbes Safari 18 (la version qui sera livrée avec macOS Sequoia) bloquera toutes les tentatives des sites Web d’accéder à l’adresse IP 0.0.0.0. Mozilla travaille toujours sur une solution.
🔴 Pour ne rien manquer de l’actualité de 01net, suivez-nous sur Google News et WhatsApp.
Par : Opéra
Source :
Forbes