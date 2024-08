Esto porque los sitios web públicos (como los que introducen el dominio .com ) pueden comunicarse con servicios que se ejecuten en la red local ( localhost ) de los equipos objetivo y, potencialmente, ejecutar código arbitrario en el host del usuario utilizando la dirección 0.0.0.0.

Entonces, muchos servicios carecían de autenticación y los certificados de seguridad SSL y HTTPS no estaban extendidos en todas las páginas web, de manera que muchos de ellos se cargaban a través de una dirección HTTP insegura.

A pesar de haber notificado este error, durante los 18 años que han pasado desde entonces hasta ahora “este problema se cerró, se reabrió y se volvió a priorizar como grave y crítico”, pero no se tomaron las medidas correspondientes para acabar con él.

Ya se han tomado medidas

No obstante, la firma de ciberseguridad ha advertido que Apple ha ejecutado “cambios importantes en WebKit” para bloquear el acceso a 0.0.0.0 y se ha añadido una marca de verificación a la dirección IP del host de destino . De ese modo, en el momento en que identifica que la solicitud son todo ceros, se bloquea.

Mozilla, por el momento, no ha lanzado una solución inmediata para Firefox, aunque hay una en proceso. De hecho, los investigadores han indicado que el navegador “nunca ha restringido el acceso a la red privada, por lo que, técnicamente, siempre estuvo permitido”. No obstante, ha cambiado la especificación RFC y ha priorizado la implementación de PNA, aunque ésta no se ha completado.