macOS と Linux の主要ブラウザに影響を与える重大な 0.0.0.0-Day 脆弱性
最近発見された「0.0.0.0-day」と呼ばれるセキュリティ脆弱性が、 macOS と Linux システム上の Google Chrome 、 Mozilla Firefox 、および Apple Safari ブラウザに影響を与えることが判明しました。この欠陥は18年間存在していた可能性があり、悪意のあるウェブサイトが内部ネットワークやデバイスにアクセスすることを可能にする可能性があります。
脆弱性の説明
サイバーセキュリティ企業 Oligo がこの脆弱性を発見しました。これは、ブラウザがIPアドレス0.0.0.0へのリクエストを処理する方法を悪用するものです。このアドレスは保護されたプライベートまたはローカルアドレスのリストに含まれていないため、攻撃者が Google の Private Network Access (PNA)仕様などのセキュリティ対策をバイパスすることができます。
脆弱性に関する主なポイント:
- macOS と Linux 上の Chrome 、 Firefox 、および Safari に影響
- Windows システムは0.0.0.0をシステムレベルでブロックしているため脆弱ではない
- 2006年から潜在的に悪用可能
- 公開ウェブサイトがローカルネットワーク上のサービスと通信することを可能にする
影響と範囲
この脆弱性を潜在的に悪用する可能性のあるウェブサイトの割合は比較的小さい( Chromium のカウンターによると0.015%)ですが、アクティブなウェブサイトの総数を考えると、最大10万サイトが影響を受ける可能性があります。この脆弱性を悪用している悪意のある行為者の実際の数は不明です。
ブラウザベンダーの対応
主要なブラウザ開発者はこの脆弱性に対処するための措置を講じています:
- Google Chrome : Chrome 128から133にかけて段階的に0.0.0.0へのアクセスをブロック
- Apple Safari : WebKit でブロックされ、 Safari 18(現在ベータ版)で修正予定
- Mozilla Firefox :将来的に0.0.0.0をブロックする予定だが、サーバーの問題の可能性があるため即時の修正はなし
ユーザーがすべきこと
- 最新のセキュリティパッチを確実に適用するため、ブラウザを最新の状態に保つ
- 不明な発信元からのリンクのクリックや添付ファイルのダウンロードに注意する
- macOS と Linux ユーザーは、すべてのブラウザパッチが完全に実装されるまで特に警戒する必要がある
この事件は、長年使用されている広く普及したソフトウェアでさえ、重大なセキュリティ上の欠陥を抱える可能性があることを思い出させます。また、継続的なセキュリティ研究と、脆弱性に対処するためのソフトウェア開発者による迅速な行動の重要性も浮き彫りにしています。