Apple a confirmé que Safari sur son dernier système d'exploitation macOS Sequoia empêche les sites Web d'accéder à l'adresse IP 0.0.0.0.
En tant qu'adresse IPv4 non routable, 0.0.0.0 a de nombreux cas d'utilisation, et l'une des utilisations les plus courantes consiste à servir d'adresse d'espace réservé. Le navigateur Safari d'Apple, ainsi que Chrome de Google et Firefox de Mozilla, résolvent les requêtes en 0.0.0.0 en redirigeant les requêtes vers « localhost », un serveur sur un réseau ou un ordinateur généralement privé et souvent utilisé pour tester le code en développement.
Dans certains cas, ces requêtes sont redirigées vers « localhost », un nom d'hôte qui fait référence à l'ordinateur actuel utilisé pour y accéder. « Localhost » est souvent un réseau privé ou un ordinateur utilisé pour tester le code, mais des acteurs malveillants utilisent l'adresse IP 0.0.0.0 pour accéder aux données privées des serveurs de l'entreprise.
Les chercheurs d’Oligo préviennent qu’en acceptant la version 0.0.0.0, « vous autorisez pratiquement tout ». Les pirates informatiques exploitent cette faille depuis dix-huit ans et les éditeurs de navigateurs ont finalement décidé de faire quelque chose.
Apple a confirmé Forbes que macOS Sequoia empêchera les sites Web d'accéder à 0.0.0.0. Google comblera également la faille dans une future version de son navigateur Chrome, tandis que Mozilla n'a pas encore développé de solution mais y travaille.
Un porte-parole de Mozilla a déclaré à la publication que l'organisation à but non lucratif était préoccupée par d'éventuels problèmes de compatibilité, car le blocage de la version 0.0.0.0 pourrait entraîner la panne de certains serveurs. « Imposer des restrictions plus strictes comporte un risque important d’introduire des problèmes de compatibilité. Alors que les discussions sur les normes et les travaux visant à comprendre ces risques de compatibilité sont en cours, Firefox n'a implémenté aucune des restrictions proposées. Nous prévoyons de poursuivre notre engagement dans ce processus.
macOS Sequoia apporte d'autres améliorations de sécurité. L'un d'eux en fait un un peu plus compliqué à contourner Gatekeeper afin d'installer des logiciels Mac non signés, car Apple s'est rendu compte que les logiciels malveillants modernes encouragent les utilisateurs à ouvrir l'exécutable à l'aide du Raccourci Ctrl-clic .