Investigadores encuentran vulnerabilidad crítica que afecta a los principales navegadores web, detectada desde 2006 y finalmente abordada.
Relacionados
En un reciente hallazgo, el equipo de Oligo Security identificó una vulnerabilidad crítica en los navegadores Safari, Chrome y Firefox que ha estado presente durante casi dos décadas. Este defecto, conocido como 0.0.0.0 Day, permite a los ciberdelincuentes acceder a servicios locales a través de los navegadores, una brecha de seguridad que ha sido motivo de preocupación desde 2006.
Descubrimiento de la vulnerabilidad
Oligo Security ha revelado que la vulnerabilidad 0.0.0.0 Day permite a sitios web externos comunicarse con el software ejecutado en sistemas MacOS y Linux. Windows, sin embargo, no está afectado por esta vulnerabilidad. La brecha permite a los atacantes explotar servicios locales mediante la dirección IP 0.0.0.0, que, aunque parece inofensiva, puede ser utilizada para ejecutar código malicioso en el host del usuario.
El problema radica en que los navegadores no restringían adecuadamente el acceso a servicios locales a través de la red, lo que podría permitir a sitios web externos acceder y manipular los servicios internos de una red local.
Advertencia temprana y falta de acción
Un usuario alertó a Mozilla sobre esta vulnerabilidad en 2006, cuando los estándares de seguridad eran menos estrictos y muchos servicios carecían de autenticación robusta y certificados de seguridad. Aunque la alerta inicial fue recibida, las medidas correctivas no se implementaron de manera efectiva a lo largo de los años. El problema se cerró y se reabrió varias veces, sin que se tomaran acciones decisivas para resolverlo.
Medidas correctivas en curso
Tras la divulgación responsable de la falla por parte de Oligo Security, los principales navegadores están tomando medidas para mitigar el problema. Apple está trabajando en una actualización para macOS Sequoia que incluirá cambios significativos en WebKit para bloquear el acceso a la dirección IP 0.0.0.0.
Por otro lado, Google está implementando cambios en Chrome a partir de la versión Chromium 128, que eliminará el acceso a los endpoints de la red privada desde sitios web públicos. Esta modificación se completará gradualmente en las próximas versiones hasta Chrome 133, donde la dirección IP será bloqueada completamente.
Mozilla, aunque aún no ha lanzado una solución inmediata para Firefox, está trabajando en una actualización que priorizará la implementación de la especificación de acceso a la red privada (PNA) para abordar esta vulnerabilidad en el futuro cercano.