Apple va corriger une faille "0.0.0.0" vieille de 18 ans dans Safari
- Nadim Lefebvre
- Il y a 1 mois
- 💬 Réagir
- 🔈 Écouter
Une faille de sécurité exploitée depuis près de 20 ans par les hackers pour accéder aux réseaux internes va enfin être corrigée par Apple dans la prochaine version de macOS. Les chercheurs d'Oligo Security, qui ont découvert cette vulnérabilité baptisée "0.0.0.0-day", la présenteront ce week-end à la conférence DEF CON.
Un trou dans la raquette des navigateurs
Safari, Chrome et Firefox sont tous concernés par cette faille qui réside dans la manière dont ils gèrent les requêtes vers l'adresse IP 0.0.0.0. Au lieu de les bloquer, les navigateurs les redirigent vers d'autres adresses IP, notamment "localhost" qui sert souvent de serveur de test en interne.
Les pirates peuvent ainsi envoyer des requêtes malveillantes vers 0.0.0.0 pour accéder à des fichiers et données privées sur le réseau de leur victime. "Du code en développement ou des messages internes peuvent être récupérés immédiatement" explique Avi Lumelsky, chercheur chez Oligo. "Mais surtout, exploiter la 0.0.0.0-day permet à l'attaquant d'accéder au réseau privé interne de la victime, ouvrant un large éventail de vecteurs d'attaque."
Apple et Google vont patcher, pas Mozilla
Oligo a responsablement divulgué cette faille à Apple, Google et Mozilla. La firme de Cupertino a confirmé à Forbes qu'elle allait bloquer toutes les tentatives des sites web d'accéder à 0.0.0.0 dès la bêta de macOS Sequoia. Google prévoit de faire de même dans une prochaine mise à jour de Chrome.
Mozilla est plus réticente car bloquer 0.0.0.0 pourrait casser certains serveurs qui utilisent cette adresse comme substitut à localhost. "Imposer des restrictions plus strictes comporte un risque important d'introduire des problèmes de compatibilité", justifie un porte-parole de Mozilla. Firefox n'appliquera donc pas ce correctif pour le moment.
Une vulnérabilité critique très sous-estimée
Pourtant, les chercheurs d'Oligo estiment que le risque de laisser cette porte ouverte est significatif. "En autorisant 0.0.0.0, vous autorisez en fait tout ce que vous bloquez depuis des années", souligne Gal Elbaz, cofondateur d'Oligo. Selon lui, cette faille permet de contourner les pare-feu et autres protections réseau.
Les attaques exploitant la 0.0.0.0-day ne sont pas que théoriques. Google a reçu "plusieurs signalements de malwares tirant parti de cette faille pour attaquer des frameworks de développement spécifiques". Il était donc plus que temps de corriger cette vulnérabilité vieille de 18 ans. Cette faille rappelle que même les géants de la tech comme Apple ne sont pas à l'abri de laisser passer des vulnérabilités pendant de longues années, d'où l'importance d'avoir un œil extérieur et des chercheurs en sécurité qui analysent leurs systèmes. En tout cas, espérons que Mozilla finisse par emboîter le pas à Apple et Google.
Source