苹果将更新macOS修复长期存在的内部网络访问漏洞 阻止黑客继续访问0.0.0.0

长期以来 macOS 都存在一个漏洞，该漏洞允许黑客利用浏览器处理 0.0.0.0 IP 地址然后将查询重定向到其他 IP 地址，某些情况下这些请求会被重定向到 localhost，该地址通常被开发者用于搭建本地服务器测试环境。

因此如果有用户确实在 macOS 上搭建了本地开发环境并且启用 localhost 这个地址，则黑客就可以通过 Safari、Chrome 或 Firefox 等浏览器将 IP 地址重定向到 localhost 然后探测环境，在某些情况下可以收集开发者和企业在本地环境中的文件和其他数据。

有研究人员发现一些黑客甚至设法在运行 Ray AI 框架的服务器上托管恶意代码，该框架是亚马逊和英特尔等公司用于训练人工智能模型的框架，黑客通过这种方式来窃取数据。

这个安全漏洞持续时间大约有 18 年了，尽管苹果一直在提高 macOS 的安全性但这个漏洞始终没有被修复，直到现在苹果终于要通过 macOS Sequoia 版进行修复。

苹果称在 macOS Sequoia 版中将阻止所有网站尝试访问 0.0.0.0 这个 IP 地址，不过暂时还不清楚安全补丁或修复程序是否已经包含在 macOS Sequoia 最新测试版中。

另外谷歌安全团队也表态称计划在未来的 Chrome 更新中采取同样的措施，即浏览器尝试访问 0.0.0.0 时会被直接拦截，不会尝试访问或重定向到其他地址。

火狐浏览器则表示暂时还未对这个漏洞进行处理，他们还在研究潜在的解决方案，因为直接屏蔽访问 0.0.0.0 可能会导致一些兼容性问题。

值得注意的是 0.0.0.0 这个访问漏洞仅影响 macOS 和 Linux 操作系统，因为微软早就意识到这个问题了，在 Windows 上搭建开发环境并使用 localhost 是个很常见的操作，所以微软早早就直接屏蔽了 0.0.0.0 的访问。