Mozilla Firefox ออก Patch อุดช่องโหว่ความเสี่ยงระดับสูง

Mozilla Firefox ได้อัปเดตแพตซ์ของช่องโหว่ความเสี่ยงสูง 2 จุดในแพตซ์เวอร์ชัน 57.0.1 เมื่อวันที่ 29 พฤศจิกายนที่ผ่านมา ผลกระทบคือ Web Worker ในโหมด Private Browsing สามารถเขียนข้อมูลใน IndexDB และอีกช่องโหว่คือทำให้สามารถเข้าไปดูประวัติเพจของผู้ใช้งานได้ แนะนำผู้ใช้งานควรอัปเดต

 

ช่องโหว่ 1 เลขอ้างอิง CVE-2017-7843

ช่องโหว่นี้ทำให้ Web Woker (สคิร์ปที่รันอยู่เบื้องหลังโดยไม่ข้ดขวางการทำงานส่วนอื่น) ที่รันอยู่ในโหมด Private Browsing (โหมดที่ไม่เก็บประวัติการใช้งานผู้ใช้) ของ Firefox สามารถเข้าไปเขียนข้อมูลลงใน IndexedDB ซึ่งโดยปกติแล้วไม่ควรเกิดขึ้นได้บนโหมด Private Browsing

ช่องโหว่ 2 เลขอ้างอิง CVE-2017-7844

ช่วงโหว่นี้ใช้การผสมผสานระหว่าง SVG image (tag หนึ่งใน HTML <svg> ที่สามารถกำหนดเป็นตัวเลขได้) จากภายนอกและการแสดงสีของลิ้งภายในรูปภาพ นั่นทำให้สามารถค้นหาประวัติเพจที่ผู้ใช้เคยเข้าไปได้ โดยอาจะเปิดโอกาสให้เว็บไซต์อันตรายเข้าไปเรียกดูข้อมูลของผู้ใช้งานได้ อย่างไรก็ตามช่องโหว่นี้เกิดขึ้นเฉพาะ Firefox เวอร์ชัน 57 เท่านั้นเวอร์ชันก่อนหน้าไม่ได้รับผลกระทบ

สามารถติดตามรายละเอียดเวอร์ชันเต็มได้ที่นี่ 

ที่มา : https://www.scmagazine.com/mozilla-urges-users-to-update-to-firefox-5701/article/712027/





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Drupal ออกอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

Drupal ระบบ Content Management System (CMS) ชื่อดัง ได้ประกาศปล่อยอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition