蘋果與其他科技公司一直在尋找提升作業系統安全性的方法,但在提升安全性之餘,仍有一些事會被忽略,像是網路惡意份子仍積極利用 18 年前就存在的瀏覽器漏洞來存取私人網路。不過現在蘋果已經確認將透過 macOS Sequoia 作業系統來修復此一問題。
Oligo 的安全研究人員就介紹了這個漏洞的工作原理;駭客會利用 Safari、Chrome 和 Firefox 等網頁瀏覽器處理對 0.0.0.0 IP 位址查詢的方式,並將這些查詢重定向到其他 IP 位址。
在某些情況下,這些請求會被重新定向到「localhost」(自己正在使用的電腦位址),通常用作本地內部伺服器來測試開發中的程式碼,透過這種方式,駭客能夠從公司伺服器收集文件和其他私人資料。研究員 Avi Lumelsky 指出,開發人員程式碼和內部訊息是一些可以立即存取的資訊。
研究人員表示,一些駭客甚至設法在託管 Ray AI 框架的伺服器上運行流氓程式碼,該框架用於訓練亞馬遜和英特爾等公司的人工智慧模型。有趣的是,此類攻擊僅會在 macOS 和 Linux 上進行,因為微軟已選擇在 Windows 上封鎖 0.0.0.0。
《Forbes》報導,蘋果表示將阻止網站透過 macOS Sequoia beta 訪問 0.0.0.0 的所有嘗試。目前尚不清楚該補丁是否已經存在於最新的測試版中,或者是否將來更新提供。Google 安全團隊則指出,計劃 Chrome 更新採取同樣措施。
至於 Firefox,Mozilla 尚未提出解決方案。發言人表示,對此類限制感到擔憂,因為可能導致「相容性問題」。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
