Firefox ออกแพตช์ด่วน ‘67.0.4’ อุดช่องโหว่ Zero-Day ตัวที่สอง

เมื่อไม่กี่วันที่ผ่านมา Firefox ได้ออกแพตช์อุดช่องโหว่ Zero-day ฉุกเฉิน (67.0.3 และ ESR 60.7.1 ) ซึ่งพบคนร้ายใช้จริงกับ Coinbase แล้ว อย่างไรก็ดีพบว่าการโจมตีมีช่องโหว่ Zero-Day ร่วมโจมตีอีกหนึ่งรายการซึ่งวันนี้ Firefox ได้ปล่อยแพตช์ออกมาในเวอร์ชัน 67.0.4 และ ESR 60.7.2 นอกจากนี้ทางด้าน Tor เองก็ได้ออกแพตช์แก้ช่องโหว่แรกตาม Firefox ในเวอร์ชัน 8.5.2 ด้วย

จากการโจมตีที่เกิดขึ้นกับ Coinbase มีการใช้ช่องโหว่หมายเลข CVE-2019-11707 ซึ่งนำไปสู่การเกิด Remote Code Execution ที่ถูกแพตช์ใน Firefox เวอร์ชัน 67.0.3 รวมถึงช่องโหว่ CVE-2019-11708 หรือ Sandbox Escape ซึ่งทำให้คนร้ายสามารถหลุดจากการป้องกันโปรเซสของ Firefox เข้าไป Execute โค้ดใน OS ได้ ทั้งนี้ Firefox จึงได้ออกแพตช์ฉุกเฉิน 67.0.4 ขึ้น 

อย่างไรก็ดีสำหรับ Tor Browser เองก็ต้องแพตช์ตาม Firefox เช่นกันในเวอร์ชัน 8.5.2 ที่แก้ไขช่องโหว่ CVE-2019-11707 แต่อีกไม่กี่วันคงออกแพตช์อีกครั้งหนึ่งเพื่อแก้ช่องโหว่ร่วมดังกล่าวเพิ่มครับ ดังนั้นผู้ใช้งานควรอัปเดตแพตช์ล่าสุดที่มีการโจมตีเกิดขึ้นจริงแล้ว

ที่มา :  https://www.zdnet.com/article/mozilla-fixes-second-firefox-zero-day-exploited-in-the-wild/ และ  https://www.bleepingcomputer.com/news/security/mozilla-firefox-6704-fixes-second-actively-exploited-zero-day/ และ  https://www.zdnet.com/article/tor-browser-8-5-2-release-patches-firefox-flaw-being-exploited-in-the-wild/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้