MENU

0.0.0.0 Day

ほぼこもセキュリティニュース

0.0.0.0 Dayは脆弱性につけられた名前です。
この問題は特定のソフトウェアに存在する固有の問題ではなく、広い範囲のソフトウェアに関係する論理的な脆弱性となっています。

  • 影響するOS
    macOSとLinuxが影響する環境になっています。
    Windowsは影響を受けません。
  • 影響するソフトウェア
    影響するソフトウェアは、すべての主要ブラウザ (Chromium、Firefox、Safari) です。
  • 脆弱性の様子
    Webブラウザを使ってコンテンツを閲覧している際に、その外部Webサイトのコンテンツの仕掛けによっては、macOSやLinux上でローカルに実行されるソフトウェアと通信できてしまいます。
    言い方を変えると、公開されたWebサイトの閲覧をしていると、そのコンテンツの中のコードでローカルネットワーク(そのブラウザの動作している機器の環境であるlocalhost)上で実行されているサービスと通信し、localhost/127.0.0.1ではなく0.0.0.0のアドレスを使用して訪問者のホスト上で任意のコードを実行できる、というものです。
  • 個別の脆弱性対応
    このような利用ができてしまうことは、本来想定されたものではありません。
    このため、問題を認識したそれぞれのWebブラウザの開発チームは対応を開始しています。
    しかし、共通的な対策としてなんらかの標準があるわけではありませんので、それぞれのWebブラウザでは個別に問題を検討し、個別の方針で対策を行っていくことになります。
    このため、どのようにこの問題に対処すべきかの必要十分な標準が制定され、それぞれのブラウザがそれに従った状態になるまでは、それぞれのブラウザになんらかの抜け道が残ってしまう状態になることが懸念されます。

この問題の大きさは、このニュースを見た人によって異なるかもしれません。
人によっては、自分の使用する機器上で、自分しか利用しないサービスを設置することがあります。
外部に公開する必要のない機構を127.0.0.1でlistenさせて使用するということです。
この使い方をする場合、設置者である自分は、自分のOS上からしかこのサービスは利用できないと思っています。
はい、本来はそのはずなのです。
このため、127.0.0.1で動作させるサービスについての設定は甘くなることが多いように思います。
だって、自分の機器上からしか利用できないものなのですから。
でも、この脆弱性を前提とする場合、その127.0.0.1のサービスは外部から利用できるものとなってしまうのです。
前提が大きく変化することになるわけです。
恐怖です。

物事には前提があります。
それはわかります。
そもそもとして、外部から侵入された後でないと、ローカルの脆弱性は悪用されてしまうことはないだろう、なんていう考えをする人もいるでしょうか。
でも、今回のような脆弱性を知ると、その考えが妥当でないと感じるかもしれません。
ローカルのセキュリティと思っていたものは、そうではないかもしれません。
ローカルの特権昇格の脆弱性は、そもそも侵入されなければ問題ないのではないか、のような具合でしょうか。

できる対策はきっちり対策しておくということが重要に思えます。

0.0.0.0 Day: Exploiting Localhost APIs From the Browser

https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。