Apple va corriger une faille vieille de 18 ans qui touche Safari, Chrome et Firefox sur Mac et Linux
Cette faille permettait aux hackers d’exploiter des requêtes à l’adresse IP 0.0.0.0 pour accéder à des données privées.
Depuis 18 ans, une faille de sécurité critique mettait en danger la tranquillité numérique des utilisateurs de macOS et de Linux. Des chercheurs d’Oligo, une entreprise israélienne spécialisée dans la cybersécurité, ont récemment mis au jour cette vulnérabilité. Cette dernière, qui a permis à des cybercriminels malveillants d’infiltrer les systèmes les plus répandus, notamment Safari, Chrome et Firefox, afin de s’emparer illégalement de données confidentielles et de compromettre des réseaux privés.
Fort heureusement, Apple a annoncé la mise en place d’une solution corrective avec le lancement imminent de macOS Sequoia, mettant ainsi fin à cette menace qui pesait sur des millions d’internautes.
Une faille qui remonte à la surface
C’est dans la gestion des requêtes adressées à l’adresse IP générique 0.0.0.0, couramment employée par les développeurs pour tester leurs applications sur des serveurs locaux, que réside ladite faille.
En effet, Safari, Chrome et Firefox, les navigateurs les plus populaires, redirigent par défaut ces requêtes vers des adresses IP internes comme « localhost », offrant ainsi aux attaquants une porte d’entrée grande ouverte vers des systèmes potentiellement vulnérables.
Comme l’explique Avi Lumelsky, expert en sécurité de l’IA chez Oligo, « Le code du développeur et la messagerie interne sont de bons exemples d’informations accessibles immédiatement ».
Bien que les conséquences de telles attaques soient principalement ressenties par les particuliers et les entreprises hébergeant leurs propres serveurs web, le nombre élevé de systèmes exposés à ce risque en fait tout de même une menace sérieuse.
Réactions et mesures correctives
Dans un souci de renforcer la sécurité de ses utilisateurs, Apple a confirmé auprès de Forbes que la prochaine version de son navigateur Safari, intégrée à macOS Sequoia, mettra enfin un terme aux tentatives des sites web d’exploiter la vulnérabilité liée à l’adresse IP 0.0.0.0.
Ce correctif devrai être déployée d’ici la fin de l’année (septembre ou octobre) et bloquera tout accès non autorisé à cette adresse, empêchant ainsi les cybercriminels de mener à bien leurs attaques.
Face à cette découverte, Google a rapidement réagi en annonçant que son navigateur Chrome bénéficierait également d’un correctif similaire dans les prochaines mises à jour. Mozilla, de son côté, tout en reconnaissant la gravité de la situation, s’est montré plus prudent, craignant que des restrictions trop drastiques ne compromettent la compatibilité de Firefox avec certains sites web.
Cette vulnérabilité, baptisée « 0.0.0.0-day » par les chercheurs d’Oligo, sera certainement un beau sujet de discussions lors de la conférence DEF CON qui aura lieu à Las Vegas ce week-end. Les experts en sécurité présents à cet événement auront l’occasion d’approfondir leurs connaissances sur ce genre de menace et d’échanger sur les meilleures pratiques pour y remédier.
- Une vulnérabilité critique, vieille de 18 ans a permis à des hackers de s’infiltrer dans des systèmes macOS et Linux grâce à Safari, Chrome et Firefox.
- Les attaquants ont profité d’une mauvaise gestion des requêtes vers l’adresse IP 0.0.0.0 par les navigateurs pour accéder à des données sensibles.
- Apple s’apprête à déployer un correctif d’ici la fin de l’année et Google suit le mouvement.