マルコム・オーウェン
· 1分で読めます
macOSのSafariのアイコン
Apple は、Intel Mac の黎明期にまで遡ると思われる macOS 版 Safari の脆弱性を修正している。
8月8日から11日まで、ラスベガスで開催されるハッキングカンファレンス「Defcon」では、新たに発見されたセキュリティ問題に関する講演が行われます。連休中に予定されている講演の一つでは、Appleが修正に取り組んでいるSafariの問題について議論されます。
Oligo Securityによって発見されたこのエクスプロイトは、IPアドレス0.0.0.0に関連するゼロデイ脆弱性です。研究者らは「0.0.0.0 Day」と名付けており、ブラウザがネットワークリクエストを処理する方法に欠陥があり、これを悪用されると機密性の高いローカルサービスにアクセスされる可能性があります。
研究者たちは、公開ウェブサイトがローカルネットワーク上で稼働しているサービスと通信できることを発見しました。localhost/127.0.0.1 ではなく 0.0.0.0 をターゲットにするだけで、ウェブサイトが訪問者のハードウェア上でコードを実行できる可能性があります。
これは長年存在していたバグです。研究者たちは、2006年にまで遡るIPアドレスに関するセキュリティ問題の報告を発見しました。
研究者らは、この問題はすべての主要なブラウザに影響を及ぼしていることを発見し、責任ある情報開示の一環としてすべての関連企業に通知した。
Safariに関しては、AppleはWebKitに変更を加え、0.0.0.0へのアクセスをブロックしました。また、宛先ホストのIPアドレスをチェックする機能も追加され、すべて0の場合はリクエストをブロックするようになりました。
この変更は、macOS Sequoia のベータ版に含まれている Safari 18 の一部として実装されています。
Mozilla FirefoxとGoogle Chromeでも同じ問題が見つかっています。Firefoxの場合、修正が進行中で、MozillaはFetchの仕様を0.0.0.0をブロックするように変更しました。
Google も同様に 0.0.0.0 へのアクセスをブロックするアップデートを展開しており、Chrome と Chromium ベースのブラウザ ユーザーの両方に影響を与えます。
土曜日には、Defcon の AppSec Village の一環として、Oligo Security による講演が開催されます。
