Una falla ha permitido a los ciberdelincuentes acceder a los navegadores Safari, Chromium y Firefox a través de la red local de distintas organizaciones y equipos personales.
El equipo de Oligo Security descubrió esta vulnerabilidad 0.0.0.0 Day que permite que sitios web externos se comuniquen y exploren el ‘software’ que se ejecuta en MacOS y Linux. Por tanto, este problema no afecta a equipos con Windows.
A través de su su blog, los investigadores de ciberseguridad señalaron que el impacto de esta vulnerabilidad conocida como 0.0.0.0 Day «es de largo alcance». Además indicaron que afecta tanto a organizaciones y empresas, como a usuarios individuales.
Los primeros indicios de esta falla se registraron en 2006, es decir, se habría dejado la puerta abierta a los ciberdelincuentes para acceder a servicios confidenciales que se ejecutan en dispositivos locales a través de los navegadores web Chromium (Google), Firefox (Mozilla) y Safari (Apple).
Los especialistas también mencionaron que en 2006, un usuario informó de este error a Mozilla, sin embargo, durante los 18 años que han pasado desde entonces hasta ahora «este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico».
Soluciones
Chrome informó a través de su sitio web que «está eliminando el acceso directo a los ‘endpoints’ de la red privada desde sitios web públicos». Agregaron que a partir de Chromium 128, este cambio se implementará «gradualmente en las próximas versiones» para completarlo en Chrome 133.
«La dirección IP quedará bloqueada por completo para todos los usuarios de Chrome y Chromium», explica el equipo de Oligo Security.
Por otro lado, Apple han confirmado a Forbes que están llevando a cabo una serie de cambios en la versión beta de su sistema operativo más reciente, macOS Sequoia, para solucionar el problema.
En el caso de Mozilla no se ha lanzado una solución inmediata a este problema. Incluso, los investigadores explicaron que el navegador «nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido».
Sin embargo, Mozilla aclaró que ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado, señalan los especialistas.