Oligo (une société de cybersécurité) signale qu'il existe une vulnérabilité dans les navigateurs installés sur les ordinateurs macOS et Linux qui permet aux pirates d'accéder aux réseaux sur lesquels fonctionnent ces ordinateurs. La bonne nouvelle est que les ordinateurs Windows ne courent aucun risque.

Il s'agit d'une vulnérabilité qui exploite la vulnérabilité 0.0.0.0-day, connue des informaticiens depuis de nombreuses années. Cette vulnérabilité est due à des mécanismes de sécurité incohérents entre les navigateurs et à un manque de standardisation permettant aux sites Web publics d'interagir avec les services Web locaux en utilisant l'adresse IP 0.0.0.0. Cette vulnérabilité permettait aux sites Web publics d'accéder aux ressources informatiques locales.

Les informaticiens tentent depuis longtemps de résoudre ce problème. Par exemple, Google a introduit la spécification Private Network Access (PNA), destinée à protéger les utilisateurs contre ce type d'attaques. La défense consiste à interdire aux sites Web d'envoyer des requêtes à des adresses IP locales telles que 127.0.0.1 ou 192.168.1.1. Cependant, Oligo a découvert que 0.0.0.0 ne figurait pas sur la liste des adresses IP considérées comme privées ou locales.

Oligo a prouvé que les navigateurs tels que Safari, Firefox et Chrome, ainsi que d'autres navigateurs basés sur le moteur Chromium, présentent une grave faille de sécurité qui n'a pas encore été corrigée. Cependant, les ordinateurs Windows ne sont pas sensibles à de telles attaques. Apple et Google travaillent déjà sur des correctifs. Google a introduit une modification dans le navigateur Chrome qui élimine ce problème. Ce changement a déjà été introduit dans Chrome 128.

Pour les utilisateurs de Safari, Apple a apporté des modifications à WebKit qui bloquent l'accès à 0.0.0.0. Ces modifications devraient être implémentées dans Safari 18, actuellement disponible dans la version bêta de macOS Sequoia. Les utilisateurs de Firefox doivent attendre encore un peu pour un tel correctif. Mozilla a informé que le blocage de la vulnérabilité pourrait endommager les serveurs utilisant cette adresse et qu'il n'a encore imposé aucune restriction sur l'accès à l'adresse 0.0.0.0. Cependant, des travaux sont toujours en cours pour bloquer une telle adresse à l'avenir.

A lire également