Na 18 jaar lijkt er eindelijk een einde te komen aan de ‘0.0.0.0-day’-kwetsbaarheid in internetbrowsers op macOS en Linux. Google en Safari dichten het lek.
Het was Oligo Security die in april aan de alarmbel trok over ‘0.0.0.0-day’, een kwetsbaarheid in browsers. De kwetsbaarheid treft nagenoeg alle browsers en met name macOS en Linux blijken er vatbaar voor te zijn. Aanvallers kunnen de kwetsbaarheid uitbuiten om vanop afstand instellingen te wijzigen, beveiligde informatie te bekijken of zelfs code uit te voeren.
18 jaar
Google en Apple grijpen in en dichten de kwetsbaarheid in de Chromium- en Safari-engine. Daar hebben ze meer dan tijd genoeg voor gehad: 0.0.0.day werd voor het eerst gesignaleerd in 2006 aan Firefox en in 2008 verscheen een eerste openbare rapport. Toch bleef de kwetsbaarheid al die jaren openstaan, tot ze dus eerder dit jaar opnieuw onder de aandacht kwam.
De kwetsbaarheid speelt in op een gebrek aan standaardisatie tussen browser rond het 0.0.0.0 IP-adres. Dit is een ‘leegstaand’ IP-adres dat publieke webdiensten kunnen gebruiken om te communiceren met lokale netwerkdiensten. 0.0.0.0 vertegenwoordigt dan alle IP-adressen gelinkt aan het lokale netwerk. Omdat het IP-adres vrij te gebruiken is, kunnen actoren met slechte bedoelingen vanuit een malafide website contact leggen met lokale servers.
Google en Apple vonden het na 18 jaar wel welletjes en dichten het 0.0.0.0-lek met een update. Met de update kan het adres niet meer gebruikt worden door externe sites. Firefox neemt uit vrees voor ‘compatibiliteitsproblemen’ nog niet onmiddellijk actie, maar belooft wel naar een oplossing te zoeken.