"0.0.0.0 Day"-Exploit: 18 Jahre alte Sicherheitslücke in Chrome, Safari und Firefox aufgedeckt

Laut Oligo Security blockiert Chrome den Zugriff auf 0.0.0.0, beginnend mit Chromium 128. (Bildquelle: Google)

Die seit 18 Jahren bestehende Sicherheitslücke "0.0.0.0 Day" ermöglicht es böswilligen Websites, die Sicherheitsmechanismen von Google Chrome, Mozilla Firefox und Apple Safari zu umgehen, wovon hauptsächlich Linux- und macOS-Geräte betroffen sind. Die Schwachstelle ermöglicht es Angreifern, Einstellungen zu ändern, auf geschützte Informationen zuzugreifen und möglicherweise Code auf den betroffenen Systemen auszuführen. Obwohl die Sicherheitslücke bereits 2008 bekannt wurde, ist sie noch immer nicht geschlossen, wenngleich die Browser-Entwickler Schritte zur Behebung der Sicherheitslücke unternommen haben. Es wird den empfohlen, zusätzliche Sicherheitsmaßnahmen zu ergreifen, um die eigenen Anwendungen zu schützen.

Anubhav Sharma (übersetzt von Alexander Pensler), Veröffentlicht am 09.08.2024 🇺🇸 🇫🇷 ...

Security Software

Eine 18 Jahre alte Sicherheitslücke, bekannt als "0.0.0.0 Day", wurde enthüllt, die es böswilligen Websites ermöglicht, die Sicherheitsprotokolle in gängigen Webbrowsern wie Google Chrome, Mozilla Firefox und Apple Safari zu umgehen. Die Schwachstelle betrifft vor allem Linux- und macOS-Systeme und ermöglicht Angreifern den Fernzugriff, um Einstellungen zu ändern, unautorisierten Zugriff auf sensible Informationen zu erhalten und sogar Code auszuführen. Obwohl das Problem bereits 2008 gemeldet wurde, ist es in diesen Browsern immer noch nicht behoben, obwohl die Entwickler das Problem erkannt haben und Berichten zufolge an einer Lösung arbeiten.

Die "0.0.0.0 Day"-Schwachstelle ist das Ergebnis inkonsistenter Sicherheitsmechanismen in verschiedenen Browsern und einer fehlenden Standardisierung, die es öffentlichen Websites ermöglicht, mit lokalen Netzwerkdiensten über die "Wildcard"-IP-Adresse 0.0.0.0 zu interagieren. "0.0.0.0" wird oft so interpretiert, als stünde es für alle IP-Adressen auf einem lokalen Computer.

Die Forscher von Oligo Security haben mehrere Bedrohungsakteure beobachtet, die diese Schwachstelle ausnutzen. Mit Angriffen wie ShadowRay und Selenium werden aktiv KI-Workloads und Selenium Grid Server anvisiert. Als Reaktion darauf haben die Entwickler von Webbrowsern begonnen, Maßnahmen zu ergreifen, um den Zugriff auf 0.0.0.0 zu blockieren. Google Chrome, Mozilla Firefox und Apple Safari planen Updates, um das Problem zu beheben.

Bis diese Patches vollständig implementiert sind, empfiehlt Oligo Security, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie die Verwendung von PNA-Headern (Private Network Access), die Überprüfung von HOST-Headern und die Verwendung von HTTPS- und CSRF-Tokens (Cross-Site Request Forgery).

Die Grafik zeigt die Zunahme von öffentlichen Webseiten, die mit 0.0.0.0 kommunizieren können. Die Zahl liegt bei fast 100.000. (Bildquelle: Oligo Security)

Quelle(n)

Oligo Security

Verwandte Artikel

Mozilla Firefox Benutzeroberfläche (Bildquelle: Generiert mit DALL-E 3)

Firefox: Entfernen der "Alle Tabs"-Schaltfläche ist wieder möglich 18.10.2024

Firefox 131.0.3 behebt mehrere Fehler, darunter Systemabstürze bei Avast- und AVG-Nutzern 16.10.2024

Google Chrome 129 startet mit KI-gestütztem Tab Compare, zahlreichen Fehlerbehebungen und weiteren Verbesserungen 18.09.2024

Eine nicht behebbare Sicherheitslücke im Zwei-Faktor-Authentifizierungsschlüssel von Yubico beeinträchtigt die Sicherheit der meisten Yubikey 5, Security Key und YubiHSM 2FA-Geräte. (Bildquelle: Yubico)

Ungepatchte Sicherheitslücke im Zwei-Faktor-Authentifizierungsschlüssel von Yubico beeinträchtigt die Sicherheit der meisten Yubikey 5, Security Key und YubiHSM 2FA-Geräte 06.09.2024

Die Sicherheitslücke Sinkclose betrifft AMD-Prozessoren ab dem Jahr 2006. (Bildquelle: Krzysztof Hepner / Unsplash)

'Sinkclose'-Sicherheitslücke in AMD-Chips könnte Datensicherheit kritisch gefährden 11.08.2024

Neben der Zertifizierung der Effizienz bewertet Cybenetics auch die Lautstärke von Netzteilen (Quelle: Corsair).

Corsair ersetzt 80 Plus-Zertifizierung durch Cybenetics 10.08.2024

Der Prototyp ist noch etwas groß, funktioniert aber verlässlich. (Bildquelle: Brenda Ahearn, Michigan Engineering)

Privatsphäre: Neu entwickelte Kamera verwandelt Personen in Strichmännchen 08.08.2024

Der Ablauf eines Downgrade-Angriffs im Überblick. (Bildquelle: SafeBreach)

Windows-Sicherheitslücke ermöglicht nicht erkennbare Downgrade-Angriffe 08.08.2024

Das KI-Modell kann Signale von HDMI-Kabeln mit einer Fehlerquote von 30 Prozent entschlüsseln, in Zukunft soll sie noch niedriger liegen. (Bildquelle: Pexels / Srattha Nualsate)

Hacker können Bildschirminhalte anhand der elektromagnetischen Strahlung von HDMI-Kabeln rekonstruieren 31.07.2024

Auch das Xiaomi Mi 10 Pro erhält keine Updates mehr (Bildquelle: Notebookcheck.com)

Achtung: Diese Xiaomi-Smartphones sind ab sofort potenziell unsicher, Nutzer sollten reagieren 29.07.2024

Crowdstrike: 10-US-Dollar-Gutscheine zur Wiedergutmachung und erste Untersuchungsergebnisse 24.07.2024

Um das Problem zu beheben, musste lediglich die Datei C-00000291*.sys im Ordner C:\Windows\System32\drivers\CrowdStrike gelöscht werden. (Bildquelle: CrowdStrike / Pixabay)

Elon Musk verbannt CrowdStrike aus seinen Unternehmen 22.07.2024

Eine große Störung von IT-System tritt aktuell auf (Symbolbild, Bildquelle: Joshua Hoene)

(Update) Lösung bereits verfügbar: Globale Ausfälle von IT-Systemen erschüttern die vernetzte Welt, abgesagte Operationen und Flüge, Notrufe nicht erreichbar 19.07.2024

IPsec-Tunnel-Seite in NethSecurity 8 hinzufügen (Bildquelle: NethServer Community)

NethSecurity 8.1 bietet nun eine neue Verbindungsverfolgungsschnittstelle und einen Benutzerkontomanager an 09.07.2024

Alle 1 Beträge lesen / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

God of War Ragnarok: PC-Systemanfor...

Heimkino zum Sparpreis: Kompakte Be...

Autor des Originals: Anubhav Sharma - News Editor - 351 Artikel auf Notebookcheck veröffentlicht seit 2024

Fueled by a childhood spent taking apart video game consoles to see how they worked, I turned my passion for tech into writing. I have a double Bachelor's in Computer Science Engineering (2018) and English (2024). I've been writing on a variety of tech topics since 2016, with a particular interest in gaming. When I'm not hunting down the latest tech news, you'll find me producing music, gaming, or hiking.

Übersetzer: Alexander Pensler - News Writer - 483 Artikel auf Notebookcheck veröffentlicht seit 2023

Technik begleitet mich schon mein ganzes Leben, angefangen mit Nintendo-Konsolen, später kamen die ersten PC-Selbstbau-Erfahrungen hinzu, bis ich dann für lange Zeit im Apple-Lager verschwand. Doch seit ich Linux für mich entdeckt habe, benutze ich das freie Betriebssystem mit Begeisterung auf meinem Laptop und Workstation-PC. Seit 2022 arbeite ich als IT-Journalist u.a. für PC Games Hardware und bin mittlerweile als News-Redakteur mit Schwerpunkt Linux für Notebookcheck tätig.

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2024-08 > "0.0.0.0 Day"-Exploit: 18 Jahre alte Sicherheitslücke in Chrome, Safari und Firefox aufgedeckt

Autor: Anubhav Sharma, 9.08.2024 (Update: 9.08.2024)