Um relatório recente veio colocar a nu uma falha que não se esperava. Os utilizadores do Chrome, Firefox e Safari estão vulneráveis a uma falha de segurança que pode dar acesso a redes domésticas e empresariais. Esta falha dá forma aos atacantes para explorarem, enviando pedidos nefastos para um endereço IP específico (0.0.0.0) para entrar na rede interna.
Falha com 18 anos coloca em risco a segurança
Este problema, conhecido como falha de “0.0.0.0-dias”, afeta o Chrome, o Firefox e o Safari, mas apenas em computadores macOS e Linux. Os computadores Windows não correm risco. As empresas que desenvolvem e mantêm os browsers sabem do problema e trabalham para o corrigir. No entanto, os utilizadores do macOS e do Linux estão ainda vulneráveis por agora.
A exploração da falha usa um método antigo e que existe há 18 anos. Embora a segurança tenha melhorado, este método ainda é uma vulnerabilidade. A publicação que revelou o problema explica como este foi encontrado e menciona especificamente um antigo relatório de bug do Firefox, onde um utilizador disse que os sites públicos atacaram o seu router na rede interna.
Desde então, tem sido procurado impedir que os sites públicos acedam a redes privadas. A Google criou a especificação Private Network Access (PNA) para proteger os utilizadores contra ataques a routers e outros dispositivos de rede privada. A PNA restringe o envio de pedidos de sites públicos para endereços IP locais privados, como 127.0.0.1 ou 192.168.1.1.
Chrome, Firefox e Safari afetados no Linux e macOS
No entanto, a Oligo descobriu que o endereço IP 0.0.0.0 não está na lista de endereços privados ou locais protegidos. Usou o 0.0.0.0 para realizar o ataque ShadowRay, que usa um ponto fraco na estrutura Ray AI. Isto provou que o Safari, Firefox, Chrome e outros browsers Chromium têm um problema de segurança grave que ainda precisa de ser corrigido.
As equipas de segurança dos browsers afetados pela falha “0.0.0.0-dias” foram notificadas em abril. Desde então, o problema foi reconhecido e a maioria trabalha para o corrigir. O Chrome bloqueará gradualmente o acesso ao 0.0.0.0 para todos os utilizadores do Chrome e do Chromium, começando com o Chrome 128 e terminando no Chrome 133.
A Apple alterou o WebKit para bloquear o acesso ao 0.0.0.0 para os utilizadores do Safari. Estas alterações estarão no Safari 18, atualmente disponível na versão beta do macOS Sequoia. As versões mais antigas do macOS também receberão a atualização do Safari 18 para corrigir o problema.
Atualizações para se proteger do 0.0.0.0
No entanto, os utilizadores do Firefox podem ter de esperar um pouco mais por uma correção. A Mozilla revelou que o bloqueio do 0.0.0.0 pode causar problemas aos servidores que utilizam este endereço, pelo que ainda não o bloquearam, mas prevêem fazê-lo no futuro.
Quem usa o Chrome ou o Safari, deve manter o browser atualizado para garantir que tem as atualizações de segurança mais recentes. Os utilizadores do Firefox podem precisar de esperar um pouco mais por uma correção. No entanto, e como sempre, deve ser tido cuidado ao clicar em links suspeitos ou ao descarregar anexos de fontes desconhecidas.