Mozilla Firefox ออก Patch อุดช่องโหว่ความเสี่ยงระดับสูง

Mozilla Firefox ได้อัปเดตแพตซ์ของช่องโหว่ความเสี่ยงสูง 2 จุดในแพตซ์เวอร์ชัน 57.0.1 เมื่อวันที่ 29 พฤศจิกายนที่ผ่านมา ผลกระทบคือ Web Worker ในโหมด Private Browsing สามารถเขียนข้อมูลใน IndexDB และอีกช่องโหว่คือทำให้สามารถเข้าไปดูประวัติเพจของผู้ใช้งานได้ แนะนำผู้ใช้งานควรอัปเดต

 

ช่องโหว่ 1 เลขอ้างอิง CVE-2017-7843

ช่องโหว่นี้ทำให้ Web Woker (สคิร์ปที่รันอยู่เบื้องหลังโดยไม่ข้ดขวางการทำงานส่วนอื่น) ที่รันอยู่ในโหมด Private Browsing (โหมดที่ไม่เก็บประวัติการใช้งานผู้ใช้) ของ Firefox สามารถเข้าไปเขียนข้อมูลลงใน IndexedDB ซึ่งโดยปกติแล้วไม่ควรเกิดขึ้นได้บนโหมด Private Browsing

ช่องโหว่ 2 เลขอ้างอิง CVE-2017-7844

ช่วงโหว่นี้ใช้การผสมผสานระหว่าง SVG image (tag หนึ่งใน HTML <svg> ที่สามารถกำหนดเป็นตัวเลขได้) จากภายนอกและการแสดงสีของลิ้งภายในรูปภาพ นั่นทำให้สามารถค้นหาประวัติเพจที่ผู้ใช้เคยเข้าไปได้ โดยอาจะเปิดโอกาสให้เว็บไซต์อันตรายเข้าไปเรียกดูข้อมูลของผู้ใช้งานได้ อย่างไรก็ตามช่องโหว่นี้เกิดขึ้นเฉพาะ Firefox เวอร์ชัน 57 เท่านั้นเวอร์ชันก่อนหน้าไม่ได้รับผลกระทบ

สามารถติดตามรายละเอียดเวอร์ชันเต็มได้ที่นี่ 

ที่มา : https://www.scmagazine.com/mozilla-urges-users-to-update-to-firefox-5701/article/712027/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้