Alte Zero-Day-Lücke in Chrome, Firefox und Safari bedroht macOS und Linux

Der Sicherheitsanbieter Oligo hat eine Zero-Day-Lücke öffentlich gemacht, die in allen gängigen Browsern steckt. Allerdings tritt das Problem nur und macOS und Linux auf – nicht jedoch unter Windows. Angreifer können unter Umständen aus der Ferne und ohne Autorisierung auf lokale Dienste zugreifen oder gar Schadcode einschleusen und ausführen.

„Die Ursache des Problems liegt in der nicht einheitlichen Implementierung von Sicherheitsmechanismen in verschiedenen Browsern sowie in der mangelnden Standardisierung in der Browserbranche“, schreibt Oligo in seinem Blog. „Infolgedessen kann die scheinbar harmlose IP-Adresse 0.0.0.0 zu einem mächtigen Werkzeug für Angreifer werden, um lokale Dienste auszunutzen, einschließlich solcher, die für die Entwicklung, Betriebssysteme und sogar interne Netzwerke verwendet werden.“

Laut Oligo ist jeder Browser angreifbar, der es externen Websites erlaubt, mit Software zu kommunizieren, die lokal ausgeführt wird. Als Beispiele nennt das Unternehmen Chrome, Firefox und Safari. Die Kommunikation erfolgt dabei nicht über die eigentliche Localhost-IP-Adresse 127.0.0.1, sondern über 0.0.0.0. Die großen Browseranbieter wurden von Oligo Anfang April über das Problem informiert.

Das Problem an sich, also das Websites ohne Erlaubnis unter unter Umgehung von Sicherheitsmaßnahmen mit dem lokalen Netzwerk kommunizieren können, ist bereits seit 2006 bekannt. Oligo verweist auf eine Mozilla gemeldete Sicherheitslücke aus dem Jahr 2006. Der Fehlerbericht wurde seitdem mehrmals geschlossen und wieder geöffnet sowie seine Priorität auch „schwerwiegend“ oder „kritisch“ erhöht. Trotz bekannter Angriffe wurde der Bug aber nicht behoben.

Oligo zufolge sind nun aber die ersten Patches in Arbeit. Google setzt demnach auf seine Initiative Private Network Access (PNA), die derzeit Websites daran hindert, auf den Localhost 127.0.0.1 zuzugreifen. Seit Chrome 128 blockiert der Browser auf die Adresse 0.0.0.0. Für alle Nutzer wird die Änderung allerdings erst mit Chrome 133 freigeschaltet. Auch Apple Safari blockiert inzwischen die fragliche Adresse. Bei Mozilla soll nun indes die Implementierung von PNA priorisiert werden. Künftig soll die Adresse 0.0.0.0 in Firefox zudem unabhängig von PNA blockiert werden.

Oligo weist auch darauf hin, dass die Zahl der Websites, die mit 0.0.0.0 kommunizieren, zunimmt. Ihr Anteil liegt derzeit bei 0,015 Prozent, was rund 100.000 öffentlich zugänglichen Websites entspricht. Zwischen 2022 und Anfang 2024 lag der Anteil noch unter 0,005 Prozent. Unklar ist den Sicherheitsforschern zufolge, ob alle diese Websites auch schädlich sind.