Après 18 ans, la vulnérabilité « 0.0.0.0-day » dans les navigateurs internet sur macOS et Linux semble enfin toucher à sa fin. Google et Safari ont colmaté la fuite.
En avril, Oligo Security a tiré la sonnette d’alarme au sujet de la faille « 0.0.0.0-day », une vulnérabilité dans les navigateurs. Elle touche presque tous les navigateurs, et macOS et Linux en particulier semblent y être sensibles. Les attaquants peuvent exploiter cette vulnérabilité pour modifier à distance les paramètres, consulter des informations sécurisées ou même exécuter du code.
18 ans
Google et Apple se sont mobilisés et ont comblé la faille dans les moteurs Chromium et Safari. Ils ont largement eu le temps pour le faire : la faille 0.0.0.day a été signalée pour la première fois en 2006 dans Firefox, et un premier rapport public est apparu en 2008. Mais la faille est restée ouverte pendant toute cette longue durée, jusqu’à ce qu’elle revienne à la surface au début de l’année.
La vulnérabilité exploite le manque de normalisation entre les navigateurs autour de l’adresse IP 0.0.0.0. Cette adresse IP « vide » est utilisée par les services web publics pour communiquer avec les services du réseau local. 0.0.0.0 représente donc toutes les adresses IP liées au réseau local. Comme l’adresse IP est libre à utiliser, des criminels peuvent contacter des serveurs locaux à partir d’un site web frauduleux.
Après 18 ans, Google et Apple en ont ai marre et ont fermé la fuite 0.0.0 avec une mise à jour. Elle empêche désormais l’utilisation de l’adresse par des sites externes. Firefox, craignant des problèmes de compatibilité, ne prend pas encore de mesures immédiates, mais promet de chercher une solution.