Breaking News

Mozilla ออกแพตซ์อุตช่องโหว่ความเสี่ยงระดับสูงใน Thunderbird หลายรายการ

Mozilla ได้ออกแพตซ์แก้ไขช่องโหว่ความเสี่ยงระดับ Critical และ High หลายรายการบน Thunderbird หรืออีเมลไคลเอนต์ไอเพ่นซอร์สในเวอร์ชัน 52.5.2 ซึ่งตัวโปรแกรมเองได้ให้บริการ รายงานข่าว (RSS feed) และใช้แชทได้ด้วย โดยช่องโหว่สามารถทำให้โปรแกรมเกิดทำงานผิดพลาด อีกทั้งยังมีช่องโหว่ที่ส่งผลกระทบกับส่วน RSS และอีเมลเช่นกัน

credit : Ryerson University

ช่องโหว่ระดับวิกฤต CVE-2017-7845 ทำให้เกิด Buffer Overflow

ช่องโหว่นี้จะเกิดขึ้นกับระบบปฏิบัติการ Windows เท่านั้นซึ่ง Bug จะเกิดเมื่อมีการใช้ Direct 3D 9 (เป็นกราฟฟิค API ของ Windows และเป็นส่วนหนึ่งของ DirectX เพื่อแสดงผลภาพ 3 มิติ) กับไลบรารี่ที่ชื่อ ‘Angle’ เพื่อวาดรูปและตรวจสอบองค์ประกอบซึ่งนำไปสู่การเกิด Buffer Overflow เหตุผลคือมีค่าที่ไม่ถูกต้องผ่านมาจากไลบรารี่ดังกล่าวระหว่างขั้นตอนการตรวจสอบและแสดงผลลัพธ์ทำให้เกิดการทำงานผิดพลาดได้ รายงานจากเว็บ Mozilla

ช่องโหว่ระดับสูง CVE-2017-7846 และ CVE-2017-7847 กระทบกับส่วน RSS feed

CVE-2017-7846 ทำให้เกิด Execute JavaScript ได้หากมีการเปิดแสดงผล Website ผ่านส่วน RSS feed (ถ้าใครเคยใช้ RSS feed มันจะมีลิ้งพาเราไปหน้าเว็บจริงได้) และ CVE-2017-7847 สามารถทำให้ Cascading Style Sheet (CSS หรือส่วนช่วยแสดงผลหน้าเว็บ เช่น สี Layout หรือ ฟอนต์ตัวหนังสือ เป็นต้น) ที่ถูกสร้างขึ้นเป็นพิเศษใน RSS feed รั่วไหลหรือเผยถึง Path ของ String ที่อาจจะประกอบด้วย Username ของผู้ใช้งาน

ช่องโหว่ระดับกลาง CVE-2017-7848 ทำให้สามารถแทรกบรรทัดใหม่เข้าไปในโครงสร้างอีเมลที่อนุญาตให้แก้ไขข้อความใน Body ได้ และ CVE-2017-7828 ถูกจัดอยู่ในระดับต่ำแต่สามารถทำให้เกิดการแสดงผลที่อยู่ผู้ส่งจริงเป็นที่อยู่อื่น ถ้าหากที่อยู่ผู้ส่งถูกต่อท้ายด้วย Null Character ในการแสดงผล String โดยมันอาจจะถูกนำไปใช้สร้างอีเมลหลอกลวงได้

ที่มา : https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/ และ https://www.scmagazine.com/mozilla-patches-one-critical-two-high-flaws-in-thunderbird/article/720762/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จัก ARM Pelion แพลตฟอร์ม IoT จาก ARM จัดการทุกอย่างครบจบในที่เดียว

เมื่อวันที่ 30 กรกฎาคมที่ผ่านมา ทาง ARM ได้จัด IoT Workshop ขึ้นเพื่อนำเสนอแง่มุมต่างๆของการนำเทคโนโลยี IoT ไปใช้ในธุรกิจ ทีมงาน TechTalkThai ได้เข้าไปร่วมงาน และทำความรู้จักกับ …

MVTV วางใจใช้ Western Digital Ultrastar® Data60 จัดเก็บข้อมูลที่มีปริมาณเพิ่มมากขึ้น

บทความนี้จะบรรยายถึงกรณีศึกษาของ MVTV บริษัทผู้ให้บริการโทรทัศน์ผ่านดาวเทียมชั้นนำ ที่เลือกใช้แพลตฟอร์มจัดเก็บข้อมูลไฮบริด Ultrastar® Data60 ของเวสเทิร์น ดิจิตอล เพื่อรองรับปริมาณคอนเทนท์ที่มีจำนวนเพิ่มมากขึ้น