TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Mozilla Firefox ได้อัปเดตแพตซ์ของช่องโหว่ความเสี่ยงสูง 2 จุดในแพตซ์เวอร์ชัน 57.0.1 เมื่อวันที่ 29 พฤศจิกายนที่ผ่านมา ผลกระทบคือ Web Worker ในโหมด Private Browsing สามารถเขียนข้อมูลใน IndexDB และอีกช่องโหว่คือทำให้สามารถเข้าไปดูประวัติเพจของผู้ใช้งานได้ แนะนำผู้ใช้งานควรอัปเดต
ช่องโหว่ 1 เลขอ้างอิง CVE-2017-7843
ช่องโหว่นี้ทำให้ Web Woker (สคิร์ปที่รันอยู่เบื้องหลังโดยไม่ข้ดขวางการทำงานส่วนอื่น) ที่รันอยู่ในโหมด Private Browsing (โหมดที่ไม่เก็บประวัติการใช้งานผู้ใช้) ของ Firefox สามารถเข้าไปเขียนข้อมูลลงใน IndexedDB ซึ่งโดยปกติแล้วไม่ควรเกิดขึ้นได้บนโหมด Private Browsing
ช่องโหว่ 2 เลขอ้างอิง CVE-2017-7844
ช่วงโหว่นี้ใช้การผสมผสานระหว่าง SVG image (tag หนึ่งใน HTML <svg> ที่สามารถกำหนดเป็นตัวเลขได้) จากภายนอกและการแสดงสีของลิ้งภายในรูปภาพ นั่นทำให้สามารถค้นหาประวัติเพจที่ผู้ใช้เคยเข้าไปได้ โดยอาจะเปิดโอกาสให้เว็บไซต์อันตรายเข้าไปเรียกดูข้อมูลของผู้ใช้งานได้ อย่างไรก็ตามช่องโหว่นี้เกิดขึ้นเฉพาะ Firefox เวอร์ชัน 57 เท่านั้นเวอร์ชันก่อนหน้าไม่ได้รับผลกระทบ
สามารถติดตามรายละเอียดเวอร์ชันเต็มได้ที่นี่
ที่มา : https://www.scmagazine.com/mozilla-urges-users-to-update-to-firefox-5701/article/712027/
