Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
0.0.0.0 Day, la vulnerabilità “maggiorenne” che colpisce i principali browser
I ricercatori di Oligo hanno reso nota l’esistenza di una vulnerabilità che colpisce tutti i principali browser e consente a un attaccante di sfruttare servizi locali, sistemi operativi e reti interne per scopi malevoli, come l’esecuzione di codice da remoto.
Pixabay
Il bug colpisce Chromium, Firefox e Safari e consente a siti web esterni di comunicare e potenzialmente sfruttare software che vengono eseguiti localmente su macchine macOS e Linux; i sistemi Windows, invece, non sono impattati dalla vulnerabilità. Nel dettaglio, i siti web pubblici possono comunicare con i servizi in esecuzione su localhost usando l’indirizzo 0.0.0.0; da qui il nome che i ricercatori hanno dato al bug.
Scegliendo una qualsiasi porta, un sito web può inviare richieste malevole che vengono processate dai servizi interni. “Quando i servizi utilizzano localhost, presuppongono un ambiente con restrizioni” spiegano i ricercatori. “Questo presupposto, che può (come nel caso di questa vulnerabilità) essere errato, si traduce in implementazioni di server non sicure“.
La vulnerabilità dei browser che ha 18 anni
I ricercatori di Oligo sottolineano che questo bug era già stato segnalato per la prima volta 18 anni fa, quando un utente di Firefox aveva affermato che dei siti web pubblici avevano attaccato il router nella sua rete interna. Il bug, segnalato come issue di sicurezza, è tuttora in stato “Open” ed è stato sfruttato più volte dagli attaccanti.
La issue è stata chiusa e riaperta più volte e i mantainer del progetto non sempre hanno concordato sulla natura della segnalazione, discutendo se fosse o no una vulnerabilità e se fosse specifica di Firefox o meno.
Prima della scoperta di Oligo, Chrome aveva cercato di risolvere il problema delle richieste provenienti da siti web esterni introducendo il Private Network Access (PNA), uno standard che si occupa proprio di limitare la capacità dei siti web di inviare richieste a server che si trovano su reti private. Il PNA distingue tra reti pubbliche, private e locali e impedisce alle pagine caricate in un contesto meno sicuro di comunicare con quelle in contesti più sicuri, prevenendo l’invio delle richieste.
Il problema, spiegano i ricercatori di Oligo, è che l’IP 0.0.0.0 non è inserito nella lista di indirizzi considerati privati o locali; effettuando una prova, il team è riuscito a inviare una richiesta all’IP locale da un dominio esterno e ottenere una risposta.
Il team di Oligo ha eseguito una serie di test usando applicazioni reali eseguite in locale, come Ray per l’esecuzione di workload di IA o istanze Selenium Grid: in entrambi i casi è stato possibile inviare richieste alle applicazioni locali.
Come proteggersi
Grazie al report di Oligo, le società dietro i principali browser hanno rilasciato dei fix per bloccare 0.0.0.0 come IP target nelle richieste.
In ogni caso, è bene proteggere le applicazioni locali a prescindere, senza attendere le patch dei browser. I ricercatori consigliano di implementare gli header PNA, aggiungere un livello anche minimo di autorizzazione per le applicazioni che vengono eseguite in locale, usare HTTPS quando possibile, implementare i token CSRF anche sulle applicazioni locali e verificare l’header HOST delle richieste per proteggersi da attacchi di DNS rebinding.
Condividi l'articolo
Hardsec: una nuova architettura di cybersecurity contro le minacce più pericolose
Nuove vulnerabilità di OpenVPN portano a esecuzione di codice ed escalation di privilegi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
