ProHoster > பிளாக் > இணைய செய்தி > IP 0.0.0.0 வழியாக உள்ளூர் சேவைகளைத் தாக்க அனுமதிக்கும் இணைய உலாவிகளில் பாதிப்பு

IP 0.0.0.0 வழியாக உள்ளூர் சேவைகளைத் தாக்க அனுமதிக்கும் இணைய உலாவிகளில் பாதிப்பு

0.0.0.0 என்ற ஐபி முகவரியை அணுகுவதன் மூலம், உள்ளூர் நெட்வொர்க் சேவைகளுக்கான அணுகலைத் தவிர்க்க அனுமதிக்கும் குரோம், பயர்பாக்ஸ் மற்றும் சஃபாரி ஆகியவற்றைப் பாதிக்கும் பாதிப்பு பற்றிய தகவலை ஒலிகோ செக்யூரிட்டி வெளியிட்டுள்ளது. பாதிப்பு குறித்த முதல் எச்சரிக்கைகள் 18 ஆண்டுகளுக்கு முன்பு வெளியிடப்பட்டன, ஆனால் சிக்கல் இன்னும் தீர்க்கப்படவில்லை.

இதில் மட்டுமே வெளிப்படும் ஒரு பாதிப்பு Linux и macOSஇந்த இயங்குதளங்களில் 0.0.0.0 என்ற IP முகவரியானது உள்ளூர் பிணைய இடைமுகத்திற்கு (localhost) ஒரு கோரிக்கையை அனுப்புவதே இதற்குக் காரணமாகும். அதாவது, 0.0.0.0-க்கு ஒரு கோரிக்கையை அனுப்புவது, 127.0.0.1-க்கு ஒரு கோரிக்கையை அனுப்புவதற்குச் சமமாகும். நவீன உலாவிகளில், வெளிப்புறத் தளங்களுடன் பணிபுரியும்போது 127.0.0.1-க்கான அணுகலைத் தடுக்கும் அம்சங்கள் உள்ளன. ஏனெனில், உள்ளூர் பயன்பாடுகளுக்கு மட்டுமே அணுகக்கூடிய, பயனரின் கணினியில் உள்ள உள் சேவைகளைக் கையாள இந்த முகவரி பயன்படுத்தப்படலாம்.

இந்த பாதிப்பு, 127.0.0.1 ஐ அணுகுவதற்கான தடையைத் தாண்டி, உலாவியில் தாக்குபவர் கட்டுப்படுத்தும் வெளிப்புறப் பக்கத்தைத் திறப்பதன் மூலம் உள் சேவைகள் மீது தாக்குதலைத் தொடங்க பயனரை அனுமதிக்கிறது. 0.0.0.0 ஐ அணுகும்போது, ​​CORS (குறுக்கு-தோற்ற வள பகிர்வு) மற்றும் PNA (தனியார் நெட்வொர்க் அணுகல்) வழிமுறைகளால் அத்தகைய தாக்குதலைத் தடுக்க முடியாது. இந்தப் பிரச்சினை தோன்றும் அளவுக்கு பாதிப்பில்லாதது அல்ல, மேலும் உள்ளூர் அமைப்புக்கு மட்டுமே அணுகக்கூடிய சர்வர் பயன்பாடுகளில் உள்ள முக்கியமான பாதிப்புகளைப் பயன்படுத்திக் கொள்ளும் நிஜ உலகத் தாக்குதல்களில் தாக்குபவர்களால் ஏற்கனவே சுரண்டப்படுகிறது என்பது குறிப்பிடத்தக்கது.

IP 0.0.0.0 வழியாக உள்ளூர் சேவைகளைத் தாக்க அனுமதிக்கும் இணைய உலாவிகளில் பாதிப்புIP 0.0.0.0 வழியாக உள்ளூர் சேவைகளைத் தாக்க அனுமதிக்கும் இணைய உலாவிகளில் பாதிப்பு

எடுத்துக்காட்டாக, உள்ளூர் சேவைகளை அணுக 0.0.0.0 இன் பயன்பாடு மார்ச் மற்றும் ஜூலை மாதங்களில் கண்டுபிடிக்கப்பட்ட ஷேடோரே மற்றும் செலினியம் கிரிட் தாக்குதல்களில் ஆவணப்படுத்தப்பட்டது, இவை டெவலப்பர் சிஸ்டங்களில் குறியீட்டை இயக்கப் பயன்படுத்தப்பட்டன. ஷேடோரே தாக்குதல் ரே AI கட்டமைப்பைப் பயன்படுத்தும் டெவலப்பர்களின் அமைப்புகளை குறிவைத்தது. இரண்டாவது தாக்குதல் உள்ளூர் ஹோஸ்டிடமிருந்து கோரிக்கைகளை மட்டுமே ஏற்றுக்கொள்ளும் உள்ளமைவுகளில் செலினியம் கிரிட் இயங்குதளத்தில் ஒரு முக்கியமான பாதிப்பை குறிவைத்தது.

கூடுதலாக, ShellTorch பாதிப்பைப் பயன்படுத்திக் கொள்ள இந்த முறையைப் பயன்படுத்துவதற்கான சாத்தியக்கூறு குறிப்பிடப்பட்டுள்ளது. சர்வர் AI பயன்பாட்டு உருவாக்குநர்களின் கணினிகளில் பயன்படுத்தப்படும் PyTorch TorchServe. மறைமுக பயனர் அடையாளத்திற்காக நெட்வொர்க் போர்ட்களை ஸ்கேன் செய்ய லோக்கல் ஹோஸ்ட் நெட்வொர்க் சேவைகளுக்கான அணுகலைப் பயன்படுத்தலாம்.

0.0.0.0 க்கான அணுகலைத் தடுக்கும் Fetch அழைப்பிற்கான விவரக்குறிப்பு மாற்றத்தை Firefox டெவலப்பர்கள் தயாரித்துள்ளனர், ஆனால் உலாவி எப்போது அதைத் தடுக்கத் தொடங்கும் என்பதை இன்னும் தீர்மானிக்கவில்லை. அடுத்த வாரம் எதிர்பார்க்கப்படும் Chrome 128 இல் 0.0.0.0 க்கான அணுகலைத் தடுக்க Chrome திட்டமிட்டுள்ளது. Safari Safari 18 இல் 0.0.0.0 ஐத் தடுக்க திட்டமிட்டுள்ளது.

ஆதாரம்: opennet.ru

DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster