Passer au contenu

Une faille vieille de 18 ans touche Safari, Chrome et Firefox sur Mac et Linux

Apple, Google et Mozilla travaillent sur un correctif pour leurs navigateurs respectifs — Safari, Chrome et Firefox — afin de boucher une faille vieille de… 18 ans !

Les chercheurs en sécurité de la start-up Oligo ont découvert une faille dans les principaux navigateurs web du marché fonctionnant sur macOS et Linux. Cette vulnérabilité concerne la manière dont sont traitées les requêtes envoyées à l’adresse 0.0.0.0. Elles sont souvent utilisées pour tester du code en développement sur des serveurs privés.

Une faille critique, mais à la portée limitée

Safari, Chrome et Firefox redirigent ces requêtes vers des adresses IP internes, comme « localhost ». Les hackers peuvent exploiter cette faille, en envoyant des requêtes malveillantes à l’adresse 0.0.0.0, ce qui leur permet d’accéder aux données privées et aux réseaux internes des utilisateurs.

La faille affecte principalement les utilisateurs individuels et les entreprises qui hébergent des serveurs web, ce qui limite la portée des attaques. De plus, la vulnérabilité dépend de la présence d’applications spécifiques utilisant « localhost » et pouvant être atteintes via 0.0.0.0 ; cela peut être des apps de développement ou des frameworks IA.

Par ailleurs et c’est probablement le plus important, la vulnérabilité ne concerne pas Windows, une fois n’est pas coutume : Microsoft a choisi de bloquer les requêtes à l’adresse 0.0.0.0 sur son système d’exploitation ! macOS et Linux sont par contre directement concernés.

Néanmoins, ces attaques n’ont rien de virtuelles : un chercheur en sécurité de Google écrivait dès le mois de juin que plusieurs rapports avaient été soumis sur un malware exploitant cette faille pour attaquer des outils de développement.

Apple a confirmé à Forbes que Safari 18 (la version qui sera livrée avec macOS Sequoia) bloquera toutes les tentatives des sites web d’accéder à l’adresse IP 0.0.0.0. Mozilla travaille toujours sur une solution.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera

Source : Forbes


Mickaël Bazoge
Votre opinion
  1. La faille et la solution sont-elles dans les navigateurs ou dans les systèmes d’exploitation ? Windows n’est pas affecté (pour une fois), preuve qu’un patch au niveau du système d’exploitation réduirait drastiquement le problème.

Les commentaires sont fermés.