Na 18 jaar: “0.0.0.0-day” in browsers eindelijk opgelost
Meestal worden veiligheidslekken relatief snel opgelost. Deze keer niet: browserfabrikanten halen nu een kwetsbaarheid uit hun software die al zeker 18 jaar onopgelost bleef. Het probleem treft zo goed als alle browsers: Google Chrome en andere browsers die daarop gebaseerd zijn, zoals Microsoft Edge en Brave, maar ook het op WebKit gebouwde Safari en Firefox, gebaseerd op Gecko, hebben er last mee.
Het gaat om een van de langst lopende ‘zerodays’ tot nu toe, al spreken ze bij Oligo Security liever van een 0.0.0.0-day. Dat is namelijk het IP-adres dat al jaren voor problemen zorgt. 18 jaar geleden werd er nog een thread over geopend op Bugzilla, en tot de dag van vandaag bleef het probleem onopgelost. Het veiligheidsrisico treft gebruikers die met macOS of Linux werken, waardoor Windows-gebruikers op hun beide oren kunnen slapen.
0.0.0.0-day
Wat het probleem precies is? Stel je voor dat je op een website met slechte bedoelingen komt. Net zoals jij aanvragen kan sturen naar het IP-adres van de website, kan de website ook aanvragen terugsturen. Dat is niet per se een probleem, maar kan dat wel heel snel worden. Vooral gebruikers die een server hebben draaien, of waarbij andere diensten aansluiting zoeken op netwerkpoorten worden getroffen door dit probleem.
Stel namelijk dat je zo’n dienst hebt lopen op poort 7070. Indien de kwaadaardige website een verzoek naar 0.0.0.0:7070 doet, zal dat verzoek aankomen bij de dienst. Heb je een Plex-server draaien op je Linux-toestel of mac, en denk je dat dat veilig is omdat niemand eraan kan? Dan moeten we je teleurstellen: het is niet omdat de dienst volledig lokaal draait, dat je zonder zorgen kan internetten.
Het is relatief moeilijk om dit lek uit te buiten omdat er een bepaalde mate van geluk bij komt kijken. Eerst en vooral moet de kwaadaardige website de juiste netwerkpoort aanspreken. Normaal gezien moeten er allerlei vangrails zijn die je localhost-server afschermen, maar die blijken hier niet te werken.
Oplossing
In Chromium 128 wordt het probleem meteen opgelost: ze zorgen ervoor dat externe sites niet meer met 0.0.0.0 kunnen communiceren. Daardoor mag je verwachten dat de fout opgelost zal zijn in Chrome 133. Bij Apple-browser Safari werd het lek inmiddels gedicht. Bij Firefox dichtten ze het lek nog niet: de browserfabrikant vreest dat zoiets elders voor compatibiliteitsproblemen kan zorgen. Het bedrijf zegt wel dat het naar een oplossing blijft zoeken. Dat is wel stilaan nodig: hoewel het probleem al bijna 20 jaar speelt, zien de onderzoekers dat meer en meer websites verzoeken sturen naar het IP-adres 0.0.0.0.
