"0.0.0.0 Day": Apple fixt Uralt-Bug, der auch Chrome und Firefox trifft
Apple wird in Safari 18 einen Fehler korrigieren, der bereits seit 18 Jahren in dem Browser steckt. Das gleiche Problem findet sich allerdings auch in vielen anderen Browsern und wird zuweilen durchaus auch von Angreifern genutzt.
Die Browser verwenden 0.0.0.0 dabei ähnlich wie localhost/127.0.0.1 - nur eben mit dem Unterschied, dass Sicherheitsroutinen beim Aufruf von 127.0.0.1 dafür sorgen, dass keine problematischen Codes eingeschleust werden können. Bei der Verwendung von 0.0.0.0 fehlen diese, da die Adresse eigentlich nicht zum normalen Adressraum des Internetprotokolls gehört.
Erste Berichte über die Möglichkeit, die daraus entstehende Schwachstelle auszunutzen, gab es durchaus schon im Jahr 2006, berichten die Oligo-Experten. Ihre Recherchen hierzu wollen sie auf der heute in Las Vegas startenden Defcon-Hacking-Konferenz vorstellen. Die damaligen Berichte wurden von den Browser-Herstellern aber wohl nicht registriert oder nicht ernst genommen, sodass das Wissen über den Bug irgendwann in Vergessenheit geriet und er nie behoben wurde.
Angegriffen werden können über die Schwachstelle aber nur Systeme auf Basis von MacOS und Linux. Windows-Rechner sind nicht betroffen, da Microsoft sich dafür entschieden hat, 0.0.0.0 in seinem Betriebssystem komplett zu blockieren.
Siehe auch:
Localhost ohne Sicherung
Sicherheitsforscher von Oligo Security, die den Bug und zugehörige Exploits entdeckt haben, tauften ihn auf den Namen "0.0.0.0 Day". Denn es handelt sich um eine Zero-Day-Lücke, die über die Verwendung der IP-Adresse 0.0.0.0 ausgenutzt werden kann. Wenn man einer Webseite ein entsprechendes Skript mitgibt, kann diese genutzt werden, um fremden Code auf einen Rechner zu schleusen und auszuführen.Die Browser verwenden 0.0.0.0 dabei ähnlich wie localhost/127.0.0.1 - nur eben mit dem Unterschied, dass Sicherheitsroutinen beim Aufruf von 127.0.0.1 dafür sorgen, dass keine problematischen Codes eingeschleust werden können. Bei der Verwendung von 0.0.0.0 fehlen diese, da die Adresse eigentlich nicht zum normalen Adressraum des Internetprotokolls gehört.
Erste Berichte über die Möglichkeit, die daraus entstehende Schwachstelle auszunutzen, gab es durchaus schon im Jahr 2006, berichten die Oligo-Experten. Ihre Recherchen hierzu wollen sie auf der heute in Las Vegas startenden Defcon-Hacking-Konferenz vorstellen. Die damaligen Berichte wurden von den Browser-Herstellern aber wohl nicht registriert oder nicht ernst genommen, sodass das Wissen über den Bug irgendwann in Vergessenheit geriet und er nie behoben wurde.
Windows nicht betroffen
Die Leute von Oligo haben das Problem in verschiedenen Browsern ausfindig gemacht. Apple bringt mit dem nächsten großen Betriebssystem-Update eine Korrektur. Mozilla hat jedoch noch keine Lösung für Firefox gefunden. Das Unternehmen gab an, dass das Blockieren von 0.0.0.0 dazu führen könnte, dass Server, die die Adresse als Ersatz für localhost verwenden, ausfallen. Auch Chrome ist betroffen.Angegriffen werden können über die Schwachstelle aber nur Systeme auf Basis von MacOS und Linux. Windows-Rechner sind nicht betroffen, da Microsoft sich dafür entschieden hat, 0.0.0.0 in seinem Betriebssystem komplett zu blockieren.
Zusammenfassung
- Apple korrigiert 18 Jahre alten Safari-Bug in Version 18
- Andere Browser haben ähnliche Sicherheitslücken
- Sicherheitsforscher nennen die Lücke "0.0.0.0 Day"
- 0.0.0 ermöglicht das Einschleusen von Schadcode
- Bereits 2006 gab es Hinweise auf die Schwachstelle
- Mozilla und Chrome suchen noch nach Lösungen
- Nur MacOS- und Linux-Systeme sind gefährdet
Siehe auch:
Thema:
Videos zum Thema Apple
- Ein Jahr Liquid Glass: Was bleibt von Apples kritisierter UI-Optik?
- MacBook Neo: Apples Einsteiger-Notebook bleibt auch teurer attraktiv
- iPadOS 27: Erste Blicke auf Apples neues Tablet-Betriebssystem
- Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
- Ted Lasso: Apple TV zeigt ersten Teaser zu Staffel 4, Start im August
Beiträge aus dem Forum
Weiterführende Links
- Safari
- Apple-Themenspecial
- Apple WWDC-Themenspecial
- iPhone-Themenspecial
- iPad-Themenspecial
- Apple iOS-Themenspecial
- MacOS-Themenspecial
- Apple Watch-Themenspecial
- Apple Vision Pro-Themenspecial
- Mozilla Firefox-Themenspecial
- Google Chrome-Themenspecial
- Microsoft Edge-Themenspecial
- Opera-Themenspecial
- Weitere News zu Browsern
Neue Nachrichten
- Microsoft Teams-Fehler: Probleme bei Bildschirmfreigabe unter macOS
- In Deutschland gescheitert: China-Marke verkauft in 6 Monaten 15 Autos
- Samsung Health: Nutzer müssen Daten für KI freigeben, sonst Löschung
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen