Oferta por tempo limitado
Pesquisadores do laboratório de cibersegurança Oligo Security identificaram uma vulnerabilidade que afeta diversos navegadores. Esta falha é considerada séria e, apesar de ser conhecida há muitos anos, ainda não foi solucionada de forma eficaz.
Essa brecha possibilita que sites maliciosos superem as proteções dos navegadores e interajam com serviços que estão em execução em uma rede local. Na prática, isso pode ter consequências severas para corporações e instituições.
Os navegadores afetados incluem as versões para Linux e macOS do Mozilla Firefox, Safari e Google Chrome, além de programas que utilizam o motor Chromium, como Microsoft Edge e Opera. Segundo as análises, computadores que utilizam Windows não estão vulneráveis a essa brecha.
Como funciona o ataque?
Denominada 0.0.0.0 Day, essa falha é classificada como uma vulnerabilidade de dia zero e utiliza o IP padrão 0.0.0.0 para explorar o sistema.
Esse endereço normalmente representa todos os IPs de uma máquina local ou todas as interfaces conectadas a um servidor. Os sites invasores podem fazer solicitações padrão HTTP para o 0.0.0.0, buscando receber uma resposta de acesso da máquina que está na rede local.
Os mecanismos típicos dos navegadores geralmente impedem que um site faça solicitações de acesso dessa natureza; no entanto, o endereço 0.0.0.0 não costuma constar nas listas de IPs bloqueados.
Na pior das hipóteses, essa vulnerabilidade pode permitir a execução remota de código nas máquinas afetadas. De acordo com a Oligo Security, cibercriminosos já exploraram essa falha em ataques que foram documentados pelo laboratório.
Esse problema é conhecido desde pelo menos 2008, tendo as primeiras denúncias surgido há 18 anos. Apesar de várias menções, somente agora as empresas responsáveis pelos navegadores confirmaram estar cientes do caso.
Atualmente, a Mozilla é a única que ainda não se manifestou sobre a correção da vulnerabilidade, alegando que a imposição de restrições de acesso a IPs específicos poderia criar incompatibilidades na navegação. Em contrapartida, Apple e Google já estão desenvolvendo atualizações para mitigar esse problema.
