Франция вступает в Демократию
КВН без шуток: Масляков старший Александр умер
Дуров публично отверг обвинения
В Латвии налоги растут, что с зарплатами и пенсиями?
2024.aug. Разработчик Fedora, работающий в компании Red Hat, представил инструментарий SyncStar, позволяющий развёртывать сервисы для организации записи на USB-носители операционных систем на выбор пользователя.
Демократия хуже диктатуры, опозорилась перед всем миром
API зло!!! и Zeek 7.0.0 Wireshark 4.4.0 это захват интернет
kt: Эколог. катастрофа в Греции на берег выброшены сотни тысяч мертвых рыб
it: Вниманние шпионы плагине ss-otr к Pidgin выявлен вредоносный код
Латвия прощается Аленом Делоном и покажет фильм «Самурай» нафестивале «Балтийская жемчужина»
it: Как обуздать замок лжи Windows
Бывший президент Латвии Валдис Затлерс в латвийской политике

it; Уязвимость в web-браузерах2024

Компания Oligo Security опубликовала информацию об уязвимости, затрагивающей Chrome, Firefox и Safari, и позволяющей обойти ограничение доступа к сетевым службам, доступным только на локальной системе, через обращение по IP-адресу 0.0.0.0.

HELPSOC мнение:
А зачем бегать по вражеским сайтам, расположенных в единой сети, а главное,

Первые предупреждения об уязвимости были опубликованы ещё 18 лет назад, но до сих пор проблема так и не была исправлена.

[ more…] http://ihelpsoc.ru/brauwzerlocalnet

Уязвимость, которая проявляется только в Linux и macOS, вызвана тем, что IP-адрес 0.0.0.0 на данных платформах приводит к обращению к локальному сетевому интерфейсу (localhost), т.е. отправка запроса на 0.0.0.0 аналогична запросу к адресу 127.0.0.1.

В современных браузерах имеются средства для противодействия обращению к 127.0.0.1 при работе с внешними сайтами, так как оно может использоваться для манипуляций с внутренними сервисами на системе пользователя, доступными только локальным приложениям.

Уявзимость позволяет обойти запрет обращения к 127.0.0.1 и организовать атаку на внутренние сервисы при открытии в браузере внешней страницы, подконтрольной атакующему.

При обращении через 0.0.0.0 механизмы CORS (Cross-Origin Resource Sharing) и PNA (Private Network Access) не могут помешать совершению подобной атаки. Отмечается, что проблема не столь безобидна, как кажется, и уже используется злоумышленниками в процессе совершения реальных атак, эксплуатирующих критические уязвимости в серверных приложениях, доступ к которым открыт только для локальной системы.

HELPSOC мнение:
А зачем бегать по вражеским сайтам, расположенных в единой сети, а главное, куда смотрит админ?
Это бред какой то.

Сколько такой сайт просуществует в локальной сети?

А, есть ли умники лазить по сайтам локальной сети из Линукс вышеуказанными браузерами? Вы таких знаете?
Мы нет не знаем. Зачем?

 

тэги: HELPSOC мнение: it 2024aug., Уязвимость в web-браузерах, А зачем бегать по вражеским сайтам, расположенных в единой сети

tags: HELPSOC мнение: it 2024aug., Уязвимость в web-браузерах, А зачем бегать по вражеским сайтам, расположенных в единой сети

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *