ChromeやSafariに影響する重大な脆弱性「0.0.0.0 Day」が見つかる:セキュリティニュースアラート
Oligo SecurityはWebブラウザの重大な脆弱性「0.0.0.0 Day」を発見した。この脆弱性はWebブラウザ間での標準化の不一致から発生し、IPアドレス「0.0.0.0」を介して外部からのアクセスを可能にする。
Oligo Securityは2024年8月7日(現地時間)、主要なWebブラウザに影響を及ぼす可能性がある重大な脆弱(ぜいじゃく)性「0.0.0.0 Day」を発見したと伝えた。
0.0.0.0 Dayを悪用すると、悪意のあるWebサイトがセキュリティを回避して組織のローカルネットワーク内で実行されているサービスと通信できるようになり、外部からの不正アクセスやリモートコード実行につながる危険性がある。
Webブラウザの不統一が生んだリスク「0.0.0.0 Day」 ChromeやSafariで影響
この脆弱性は、異なるWebブラウザ間でセキュリティメカニズムの実装に一貫性がないことやWebブラウザ業界での標準化が不十分であることに問題があるとされている。通常無害と考えられているIPアドレス「0.0.0.0」が、攻撃を実行するための強力な手段となる可能性があることが明らかにされている。
通常、ローカルホスト(localhostや127.0.0.1)で動作するサービスは外部からアクセスできないように設定されている。しかし0.0.0.0 Dayを悪用することで、外部の悪意あるWebサイトが0.0.0.0アドレスを使ってローカルホストのサービスに通信を試みることが可能になる。攻撃者はローカルで動作しているサービスに不正にアクセスして情報を窃取したり、操作を乗っ取ったりできるという。
Oligo Securityによると「Chromium」「Firefox」「Safari」といった主要Webブラウザがこの脆弱性の影響を受けるとされ、特に「macOS」や「Linux」でのローカルソフトウェアとの通信が狙われる可能性があることが指摘されている。なお「Windows」については現時点では影響を受けないとされている。
現在、各Webブラウザ開発チームはこの脆弱性に対応するために動いており、「Google Chrome」(以下、Chrome)やSafariは対策を進めている。Chromeについては「Chromium 128」から段階的に0.0.0.0へのアクセスをブロックする予定で、最終的には全てのChromeユーザーがこの保護を受けることになる。
Safariについてはすでに変更を加えており、0.0.0.0へのアクセスをブロックする措置を取っている。Mozilla Firefoxは技術的にはこの脆弱性への影響が少ないとされている。ただしOligo Securityの報告を受け、0.0.0.0アドレスをブロックするよう変更している。
0.0.0.0 Dayの発見により、Webブラウザの標準が統一されていないという根本的な課題が浮き彫りにされている。ユーザーは使用しているWebブラウザを最新のバージョンに更新し、リスクを最小限に抑えることが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
macOSのセキュリティ防御率は23% WindowsやLinuxと比べて大幅に劣ることが判明
Picus Securityは年次セキュリティレポート「Picus Blue Report 2024」を公開した。調査から、macOSにおけるセキュリティ防御率はWindowsやLinuxに比べて大幅に劣ることが明らかになっている。