Falha grave em navegadores permite acesso remoto a sua rede
Falha grave em navegadores permite que um invasor acesse de forma remota a sua rede interna, afetando os sistemas macOS e Linux.
Uma falha grave em navegadores está permitindo acesso a rede interna por invasores em sistemas baseados em macOS e Linux.
Ainda sem solução a falha afeta o Safari, Firefox e qualquer navegador baseado na Engine Chromium (utilizado por diversos browsers modernos).
Geralmente quando falamos em falhas de segurança o Windows vem logo em mente, mas a princípio ele está passando incólume a esse problema.
Falha grave em navegadores permite acesso remoto a sua rede
A falha de segurança reside na forma como os navegadores citados processam uma requisição para o endereço IP 0.0.0.0.
Basicamente códigos de desenvolvedor e mensagens internas são algumas informações vulneráveis a este tipo de ataque.
Desta forma um site malicioso poderia usar 0 IP 0.0.0.0 para mostrar outros endereços na mesma rede.
Levando em consideração que avaliar o endereço é uma medida de segurança, o caso se torna grave, pois poderia induzir o usuário ao erro.
Com isso seria possível acessar localhost (um endereço de servidor interno) e obter dados e arquivos que deveriam estar sob proteção.
O problema é antigo
No longíquo ano de 2006, um usuário reportou, em um fórum da Mozilla, que alguns sites haviam atacado seu roteador, o que ele classifica como um bug.
Desde então o tópico neste fórum foi trancado, reaberto e classifico como crítico, porém nenhuma correção foi disponibilizada.
Existem diversos relatos de que esta brecha foi utilizada em ataques e se mostrou funcional na prática.
Sistemas baseados em Windows parecem ser imunes, pois esse sistema bloqueia o acesso a este endereço de IP no nível do sistema operacional.
E quando chega a correção?
Finalmente parece que as grandes empresas irão tomar medidas e aplicar uma correção para este bug de segurança.
A Apple afirmou que a partir do macOS Sequoia irá bloquear as tentativas de sites para acessar o endereço 0.0.0.0.
O Google se comprometeu a tomar ação similar no seu projeto Chromium.
Por hora a Mozilla é a única que ainda está discutindo o que fazer para corrigir o problema, pois alega que simplesmente bloquear o acesso ao 0.0.0.0 poderá afetar sistemas legítimos que o utilizando no lugar de localhost.