Google ChromeやSafariに脆弱性、Webサーバからローカルサービスに不正接続
マイナビニュース / 2024年8月12日 15時55分
Oligo Securityは8月7日(現地時間)、「0.0.0.0 Day: Exploiting Localhost APIs From the Browser|Oligo Security」において、悪意のあるWebサイトが主要なWebブラウザを介してローカルサービスに接続できる脆弱性を発見したと伝えた。この脆弱性は「0.0.0.0 Day」と名付けられており、macOSおよびLinux環境のWebブラウザに影響する。WindowsはIPアドレス「0.0.0.0」をブロックするため影響を受けない。
○「0.0.0.0 Day」の概要
「0.0.0.0 Day」はIPアドレス「0.0.0.0」をさまざまなソフトウェアがホストアドレスとして認識することで発生する脆弱性とされる。本来、IPアドレス「0.0.0.0」は「RFC 1122 - Requirements for Internet Hosts - Communication Layers」においてDHCPの送信元アドレス以外に使用してはならないと定義されている。しかしながら、それ以外の具体的な仕様は定められておらず、実装に依存する状態となっている。
Oligo Securityはループバックアドレス「127.0.0.1」をリッスンするローカルWebサーバを用意し、同一コンピュータ上のWebブラウザから外部Webサーバにアクセスする実験を行っている。外部Webサーバは「0.0.0.0」に接続するJavaScriptを配信する。
その結果、Webブラウザから送信された宛先アドレス0.0.0.0への接続は自動的に127.0.0.1に変換され、ローカルWebサーバに到達したことを確認している。これは悪意のある外部のWebサーバから、127.0.0.1上で動作しているサービスにアクセスできることを意味する。
○プライベートネットワークアクセス
Oligo Securityの調査によると「0.0.0.0 Day」と同様の問題は、18年前の2006年にはMozillaに報告されていたという。このときは0.0.0.0だけではなく、ローカルネットワーク全体にアクセスできるとして問題が報告されている。この問題は現在も解決していない。
このような悪意のあるJavaScriptの不正アクセスを防止するため、Chromeにはプライベートネットワークアクセス(PNA: Private Network Access、旧称: CORS-RFC1918)の仕組みが導入されている。これはローカルホスト、ローカルネットワーク(プライベートネットワーク)、それ以外のネットワーク(パブリックネットワーク)を区別し、後者から前者へのアクセスを制限する(参考:「Private Network Access」)。
-
- 1
- 2
この記事に関連するニュース
-
VPN保護、広告ブロック、生体認証ロックを搭載|プライバシー重視の無料Web3ブラウザ「Aloha」オープンソース化
Techable / 2024年8月9日 18時30分
-
ネットワークの超基本! エンジニア1年目の教科書 第16回 通信が行われる仕組み
マイナビニュース / 2024年8月7日 7時0分
-
Webカメラ(AVTECH)に重要な脆弱性、確認と緩和策の実施を
マイナビニュース / 2024年8月5日 11時54分
-
Wi-Fi Webカメラ(Ubiquiti)に脆弱性、2万台超が対象 - アップデートを
マイナビニュース / 2024年8月4日 18時16分
-
「プライベートリレーは使用できません」と通知されたときの対策は? - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年7月29日 11時15分
ランキング
-
1「Xperia 1 VI」を1カ月使って感じた“変化と進化” これぞ唯一無二のエンタメマシンだ
ITmedia Mobile / 2024年8月12日 10時0分
-
2ダイソーで770円の「モバイルバッテリー 5000mAh」は実用的? 暑い夏だからこそ気を付けたいことも
ITmedia Mobile / 2024年8月12日 17時30分
-
3まるで亡き愛犬が目の前でよみがえるかのような感動 「Vision Pro」は異次元のデバイスだった
ITmedia Mobile / 2024年8月12日 6時5分
-
4今売れている「サウンドバー」トップ10&おすすめ3選 圧巻の7.1.4chやサブウーファーが付属するモデルに注目! JBLの立体音響にこだわったモデルをピックアップ【2024年8月版】
Fav-Log by ITmedia / 2024年8月12日 7時10分
-
5Google ChromeでmacOS 10.15(Catalina)のサポートが終了へ
マイナビニュース / 2024年8月12日 18時52分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください