Una falla de seguridad crítica en los principales navegadores de Internet los hace vulnerables a los ataques cibernéticos. Fue descubierto recientemente a pesar de sus casi 20 años de existencia.
Los navegadores de Internet no son inmunes a los ataques cibernéticos. Tienen como todos los demás software y por eso las actualizaciones regulares los llenan. El que estamos hablando aquí es especial en el sentido de que sabemos que existe desde hace al menos 18 años. A pesar de esto, todavía no se ha solucionado. Recientemente descubierto por la startup Oligo, fue nombrado "0.0.0.0-day", en referencia a los famosos defectos del "día cero".
>>
DL-UAV-002 DJI DL-UAV-002 batería 13.05V/11.4V 43.6Wh/3830mAh para DJI Mavic Pro NW
La secuencia de 0 se refiere a una dirección IP "general", que se considera por ejemplo todas las direcciones IPv4 de una máquina local en el caso de un servidor. El problema viene de cómo los navegadores web Chrome, Safari y Firefox manejan las solicitudes a la IP 0.0.0.0. En resumen, los hackers pueden usarlo para acceder a programas ejecutados localmente y ejecutar comandos remotos. Una puerta abierta que solo concierne a macOS y Linux, Windows bloqueó la dirección 0.0.0.0 hace varios años.
CHROME, SAFARI Y FIREFOX TIENEN UN FALLO DE SEGURIDAD DE CASI 20 AÑOS
¿Qué te arriesgas a ser robado por un hacker que conoce el fallo? "El código de desarrollador y la mensajería interna son buenos ejemplos de alguna información disponible de inmediato. Pero lo más importante es que el funcionamiento del 0.0.0.0 día puede permitir al atacante acceder a la red privada interna de la víctima, allanando el camino para una amplia gama de vectores de ataque", dice Avi Lumelsky de Oligo. Especifica que "los atacantes pueden tener en sus manos todo lo que está presente en esta máquina: archivos, mensajes, identificadores".
>>
973760 DJI 973760 batería 3.7V 2970mAh para DJI Spark Mavic Pro Air
Si bien los individuos y las empresas que usan servidores web (por ejemplo, pruebas) están en mayor riesgo, estos no son los únicos objetivos potenciales. El software ampliamente utilizado puede depender de la operación local y tener un sesgo de tamaño. Avi Lumelsky señala que estos servicios a menudo asumen erróneamente que el entorno en el que se ubicará el servidor está limitado, es decir, limitado en lo que permite el acceso. Esto rara vez es así y conduce a la implementación de servidores inseguros.
¿PARA PROTEGERTE DEL FALLO DEL "0.0.0.0 DÍA"?
Ahora que sabemos de su existencia, la pregunta es cómo evitar explotar esta vulnerabilidad. Seamos claros: no tienes que hacer nada por ti mismo. Tenemos que esperar a que los navegadores web relevantes se actualicen y llenen el vacío. En Apple, una futura beta de macOS Sequoia se encargará de ello y pasará a la versión anterior, macOS Sonoma. Para los más antiguos, todavía no sabemos cómo será.
En el lado de Google, el acceso a la 0.0.0.0 dirección se bloqueará progresivamente en Chrome desde la versión 128 (estamos en 127 en el momento de publicar este artículo). El bloqueo total será efectivo desde Chrome 133.
En cuanto a Firefox, tendremos que esperar. Un portavoz dice que "Firefox no ha implementado ninguna de las restricciones propuestas", y esto en la medida en que "imponer restricciones más estrictas conlleva un riesgo significativo de introducir problemas". La firma no hará nada mientras "las discusiones sobre estándares y el trabajo para comprender estos riesgos estén en marcha".
Gal Elbaz, cofundador de Oligo, espera que este statu quo no dure mucho. Para él, los riesgos vinculados a la grieta del 0.0.0.0 día son reales y demasiado importantes para ser ignorados. Su resumen es realmente escalofriante: "Al permitir 0.0.0.0, esencialmente lo permites todo".
Add comment
Comments