Passer au contenu

Une faille vieille de 18 ans touche Safari, Chrome et Firefox sur Mac et Linux

Apple, Google et Mozilla travaillent sur un correctif pour leurs navigateurs respectifs — Safari, Chrome et Firefox — afin de boucher une faille vieille de… 18 ans !

Les chercheurs en sécurité de la start-up Oligo ont découvert une faille dans les principaux navigateurs web du marché fonctionnant sur macOS et Linux. Cette vulnérabilité concerne la manière dont sont traitées les requêtes envoyées à l’adresse 0.0.0.0. Elles sont souvent utilisées pour tester du code en développement sur des serveurs privés.

Une faille critique, mais à la portée limitée

Safari, Chrome et Firefox redirigent ces requêtes vers des adresses IP internes, comme « localhost ». Les hackers peuvent exploiter cette faille, en envoyant des requêtes malveillantes à l’adresse 0.0.0.0, ce qui leur permet d’accéder aux données privées et aux réseaux internes des utilisateurs.

La faille affecte principalement les utilisateurs individuels et les entreprises qui hébergent des serveurs web, ce qui limite la portée des attaques. De plus, la vulnérabilité dépend de la présence d’applications spécifiques utilisant « localhost » et pouvant être atteintes via 0.0.0.0 ; cela peut être des apps de développement ou des frameworks IA.

Par ailleurs et c’est probablement le plus important, la vulnérabilité ne concerne pas Windows, une fois n’est pas coutume : Microsoft a choisi de bloquer les requêtes à l’adresse 0.0.0.0 sur son système d’exploitation ! macOS et Linux sont par contre directement concernés.

Néanmoins, ces attaques n’ont rien de virtuelles : un chercheur en sécurité de Google écrivait dès le mois de juin que plusieurs rapports avaient été soumis sur un malware exploitant cette faille pour attaquer des outils de développement.

Apple a confirmé à Forbes que Safari 18 (la version qui sera livrée avec macOS Sequoia) bloquera toutes les tentatives des sites web d’accéder à l’adresse IP 0.0.0.0. Mozilla travaille toujours sur une solution.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
Télécharger gratuitement

Source : Forbes

Mickaël Bazoge
Sur le même sujet
Votre opinion

  1. La faille et la solution sont-elles dans les navigateurs ou dans les systèmes d’exploitation ? Windows n’est pas affecté (pour une fois), preuve qu’un patch au niveau du système d’exploitation réduirait drastiquement le problème.

    Répondre
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les dernières actualités
Control Camera Iphone 16
« Commande de l’appareil photo » sur l’iPhone 16 : les boutons n’ont pas dit leur dernier mot !
Iphone 16 Pro
Surprise, malgré le titane les iPhone 16 Pro sont plus lourds que les iPhone 15 Pro
Airpods Max
AirPods Max : rien ne change, sauf les couleurs et l’USB-C
Ps5 Pro Croquis
Sony présentera bien la PS5 Pro ce mardi
Ios 18
Apple dévoile la date de sortie d’iOS 18, de WatchOS 11 et d’Apple Intelligence
Iphone 16 Pro
iPhone 16 Pro et iPhone 16 Pro Max : grands par la taille, modestes par les nouveautés
Apple Event September 9 43 27 Screenshot (personnalisé)
iPhone 16 et 16 Plus annoncés : faire du neuf avec du vieux ? Pas totalement
Keynote Apple 1009
iPhone 16 Pro, AirPods 4, Apple Watch 10 et iOS 18 : toutes les nouveautés d’Apple sont là
Top téléchargements