אפל מתקן פגיעות בספאריעבור macOS, נראה שמקורו בשחר של מחשבי מקינטוש של אינטל.
הדפקוןכנס הפריצה מתקיים בין ה-8 באוגוסט ל-11 באוגוסט בלאס וגאס, המארח הרצאות על בעיות אבטחה שהתגלו לאחרונה. שיחה אחת שתתקיים בסוף השבוע הארוך תדון בבעיה עם ספארי שאפל עבדה כדי לתקן.
הלְנַצֵל, שהתגלתה על ידי Oligo Security, היא פגיעות של יום אפס הכוללת את כתובת ה-IP 0.0.0.0. החוקרים מכונה "0.0.0.0 יום" על ידי החוקרים, והוא חושף פגם באופן שבו דפדפנים מטפלים בבקשות רשת, שניתן לנצל לרעה כדי לגשת לשירותים מקומיים רגישים.
החוקרים גילו שאתרים ציבוריים יכולים לתקשר עם שירותים הפועלים ברשת מקומית. זה אפשרי עבור אתרי האינטרנט להפעיל קוד על החומרה של המבקר, פשוט על ידי מיקוד ל-0.0.0.0 במקום localhost/127.0.0.1.
זהו באג שקיים כבר שנים רבות. החוקרים מצאו דיווח על בעיית אבטחה הקשורה לכתובת ה-IP משנת 2006.
הנושא משפיע על כל הדפדפנים הגדולים, מצאו החוקרים, וכל החברות הקשורות קיבלו מידע כחלק מחשיפה אחראית.
עבור Safari, אפל ביצעה שינויים ב-WebKit כדי לחסום את הגישה ל-0.0.0.0. זה גם הוסיף סימון לכתובת ה-IP של מארח היעד, וחסם את הבקשה אם כולה אפסים.
שינוי זה מיושם כחלק מ-Safari 18, הנכלל בגרסת הבטא שלmacOS Sequoia.
אותה בעיה נמצאה ב-Mozilla Firefox וב-Google Chrome. במקרה של Firefox, יש תיקון בתהליך ומוזילה שינתה את מפרט האחזור לחסום 0.0.0.0.
גוגל מוציאה באופן דומה עדכונים לחסימת הגישה ל-0.0.0.0, המשפיעים על משתמשי דפדפן מבוססי Chrome ו-Chromium כאחד.
הרצאה של Oligo Security תתקיים במסגרת הAppSec Villageשל דפקון בשבת.
