Apple har bekræftet, at Safari på sit seneste macOS Sequoia-operativsystem forhindrer websteder i at få adgang til IP-adressen 0.0.0.0.
Som en ikke-routbar IPv4-adresse har 0.0.0.0 mange anvendelsesmuligheder, og en af de mest almindelige anvendelser er at tjene som pladsholderadresse. Apples Safari-browser samt Googles Chrome og Mozillas Firefox løser forespørgsler til 0.0.0.0 ved at omdirigere anmodninger til 'localhost', en server på et netværk eller en computer, der typisk er privat og ofte bruges til at teste kode under udvikling.
I nogle tilfælde omdirigeres disse anmodninger til 'localhost', et værtsnavn, der refererer til den aktuelle computer, der bruges til at få adgang til den. 'Localhost' er ofte et privat netværk eller en computer, der bruges til kodetest, men dårlige aktører har brugt IP-adressen 0.0.0.0 til at få adgang til private data fra firmaets servere.
Oligo-forskere advarer om, at ved at acceptere 0.0.0.0, 'tillader du dybest set alt.' Hackere har udnyttet dette smuthul i atten år, og browserleverandører har endelig besluttet at gøre noget ved det.
Det har Apple bekræftet Forbes at macOS Sequoia vil blokere websteder fra at få adgang til 0.0.0.0. Google vil også lukke smuthullet i en fremtidig version af sin Chrome-browser, mens Mozilla endnu ikke har udviklet en løsning, men arbejder på det.
En Mozilla-talsmand fortalte publikationen, at non-profit-organisationen er bekymret over potentielle kompatibilitetsproblemer, da blokering af 0.0.0.0 kan få nogle servere til at gå i stykker. 'At pålægge strammere restriktioner medfører en betydelig risiko for at indføre kompatibilitetsproblemer. Da standarddiskussionen og arbejdet med at forstå disse kompatibilitetsrisici er i gang, har Firefox ikke implementeret nogen af de foreslåede begrænsninger. Vi planlægger at fortsætte vores engagement i den proces.'
macOS Sequoia bringer andre sikkerhedsforbedringer. En af dem gør det til en lidt mere kompliceret at omgå Gatekeeper for at installere usigneret Mac-software, fordi Apple indså, at moderne malware opfordrer brugere til at åbne den eksekverbare ved hjælp af Ctrl-klik genvej .