Mozilla Firefox ออก Patch อุดช่องโหว่ความเสี่ยงระดับสูง

Mozilla Firefox ได้อัปเดตแพตซ์ของช่องโหว่ความเสี่ยงสูง 2 จุดในแพตซ์เวอร์ชัน 57.0.1 เมื่อวันที่ 29 พฤศจิกายนที่ผ่านมา ผลกระทบคือ Web Worker ในโหมด Private Browsing สามารถเขียนข้อมูลใน IndexDB และอีกช่องโหว่คือทำให้สามารถเข้าไปดูประวัติเพจของผู้ใช้งานได้ แนะนำผู้ใช้งานควรอัปเดต

 

ช่องโหว่ 1 เลขอ้างอิง CVE-2017-7843

ช่องโหว่นี้ทำให้ Web Woker (สคิร์ปที่รันอยู่เบื้องหลังโดยไม่ข้ดขวางการทำงานส่วนอื่น) ที่รันอยู่ในโหมด Private Browsing (โหมดที่ไม่เก็บประวัติการใช้งานผู้ใช้) ของ Firefox สามารถเข้าไปเขียนข้อมูลลงใน IndexedDB ซึ่งโดยปกติแล้วไม่ควรเกิดขึ้นได้บนโหมด Private Browsing

ช่องโหว่ 2 เลขอ้างอิง CVE-2017-7844

ช่วงโหว่นี้ใช้การผสมผสานระหว่าง SVG image (tag หนึ่งใน HTML <svg> ที่สามารถกำหนดเป็นตัวเลขได้) จากภายนอกและการแสดงสีของลิ้งภายในรูปภาพ นั่นทำให้สามารถค้นหาประวัติเพจที่ผู้ใช้เคยเข้าไปได้ โดยอาจะเปิดโอกาสให้เว็บไซต์อันตรายเข้าไปเรียกดูข้อมูลของผู้ใช้งานได้ อย่างไรก็ตามช่องโหว่นี้เกิดขึ้นเฉพาะ Firefox เวอร์ชัน 57 เท่านั้นเวอร์ชันก่อนหน้าไม่ได้รับผลกระทบ

สามารถติดตามรายละเอียดเวอร์ชันเต็มได้ที่นี่ 

ที่มา : https://www.scmagazine.com/mozilla-urges-users-to-update-to-firefox-5701/article/712027/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft อัปเดตฟีเจอร์ด้านความมั่นคงปลอดภัยให้ OneDrive

Microsoft ได้ประกาศเพิ่มความสามารถ ‘OneDrive Personal Vault’ เพื่อช่วยการป้องกันการเข้าถึงไฟล์บน OneDrive ด้วยวิธีการพิสูจน์ตัวตนที่เข้มแข็งขึ้นหรือใช้ 2-steps Verification

ผู้เชี่ยวชาญชี้พบปฏิบัติการของแฮ็กเกอร์จีนแทรกซึมผู้ให้บริการเครือข่ายโทรศัพท์กว่า 10 แห่งในหลายทวีป

Cybereason บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกรายงานว่ามีการค้นพบหลักฐานที่บ่งชี้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ได้รับการสนับสนุนจากรัฐเข้าแทรกซึมผู้ให้บริการด้านเครือข่ายโทรศัพท์ไม่ต่ำกว่า 10 แห่งในหลากหลายทวีป เช่น เอเชีย ตะวันออกกลาง แอฟริกา และยุโรป โดยปฏิบัติการครั้งนี้ได้รับชื่อว่า ‘Soft Cell’