Mozilla ออกแพตซ์อุตช่องโหว่ความเสี่ยงระดับสูงใน Thunderbird หลายรายการ

Mozilla ได้ออกแพตซ์แก้ไขช่องโหว่ความเสี่ยงระดับ Critical และ High หลายรายการบน Thunderbird หรืออีเมลไคลเอนต์ไอเพ่นซอร์สในเวอร์ชัน 52.5.2 ซึ่งตัวโปรแกรมเองได้ให้บริการ รายงานข่าว (RSS feed) และใช้แชทได้ด้วย โดยช่องโหว่สามารถทำให้โปรแกรมเกิดทำงานผิดพลาด อีกทั้งยังมีช่องโหว่ที่ส่งผลกระทบกับส่วน RSS และอีเมลเช่นกัน

credit : Ryerson University

ช่องโหว่ระดับวิกฤต CVE-2017-7845 ทำให้เกิด Buffer Overflow

ช่องโหว่นี้จะเกิดขึ้นกับระบบปฏิบัติการ Windows เท่านั้นซึ่ง Bug จะเกิดเมื่อมีการใช้ Direct 3D 9 (เป็นกราฟฟิค API ของ Windows และเป็นส่วนหนึ่งของ DirectX เพื่อแสดงผลภาพ 3 มิติ) กับไลบรารี่ที่ชื่อ ‘Angle’ เพื่อวาดรูปและตรวจสอบองค์ประกอบซึ่งนำไปสู่การเกิด Buffer Overflow เหตุผลคือมีค่าที่ไม่ถูกต้องผ่านมาจากไลบรารี่ดังกล่าวระหว่างขั้นตอนการตรวจสอบและแสดงผลลัพธ์ทำให้เกิดการทำงานผิดพลาดได้ รายงานจากเว็บ Mozilla

ช่องโหว่ระดับสูง CVE-2017-7846 และ CVE-2017-7847 กระทบกับส่วน RSS feed

CVE-2017-7846 ทำให้เกิด Execute JavaScript ได้หากมีการเปิดแสดงผล Website ผ่านส่วน RSS feed (ถ้าใครเคยใช้ RSS feed มันจะมีลิ้งพาเราไปหน้าเว็บจริงได้) และ CVE-2017-7847 สามารถทำให้ Cascading Style Sheet (CSS หรือส่วนช่วยแสดงผลหน้าเว็บ เช่น สี Layout หรือ ฟอนต์ตัวหนังสือ เป็นต้น) ที่ถูกสร้างขึ้นเป็นพิเศษใน RSS feed รั่วไหลหรือเผยถึง Path ของ String ที่อาจจะประกอบด้วย Username ของผู้ใช้งาน

ช่องโหว่ระดับกลาง CVE-2017-7848 ทำให้สามารถแทรกบรรทัดใหม่เข้าไปในโครงสร้างอีเมลที่อนุญาตให้แก้ไขข้อความใน Body ได้ และ CVE-2017-7828 ถูกจัดอยู่ในระดับต่ำแต่สามารถทำให้เกิดการแสดงผลที่อยู่ผู้ส่งจริงเป็นที่อยู่อื่น ถ้าหากที่อยู่ผู้ส่งถูกต่อท้ายด้วย Null Character ในการแสดงผล String โดยมันอาจจะถูกนำไปใช้สร้างอีเมลหลอกลวงได้

ที่มา : https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/ และ https://www.scmagazine.com/mozilla-patches-one-critical-two-high-flaws-in-thunderbird/article/720762/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NEXUS เชิญร่วมสัมมนาพิเศษ SAP S/4HANA สำหรับกลุ่มธุรกิจ Food and Beverage และ High Tech ในวันที่ 28 พ.ค. 2019

พลาดไม่ได้!! งานสัมมนาพิเศษสำหรับผู้บริหารประจำปี 2019 โดย SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 ของโลก ได้จัดร่วมกับบริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อพัฒนา และเพิ่มประสิทธิภาพธุรกิจ โดยในงานสัมมนาครั้งนี้จะเน้นย้ำเกี่ยวกับโซลูชั่นและแนวทางใหม่ในการแก้ปัญหาการดำเนินธุรกิจ และเพิ่มประสิทธิภาพในการบริหารงานของกลุ่มธุรกิจ Food, Beverage และ High Tech ให้เจริญเติบโตในยุคดิจิตอลได้รวดเร็วมากยิ่งขึ้น ด้วยโซลูชั่นที่ได้รับความนิยมสูงสุดจากธุรกิจทั่วโลก โดยมีรายละเอียด และสามารถลงทะเบียนเข้าร่วมงานฟรีได้ที่ลิ้งด้านล่างนี้

TechTalk Webinar: Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine

Tangerine ขอเรียนเชิญเหล่า IT Manager, System Engineer, Software Developer และผู้ที่สนใจทุกท่าน เข้าร่วม TechTalk Webinar ในหัวข้อเรื่อง "Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine" เพื่อเริ่มต้นทำความรู้จักกับ Google Cloud Platform กับการนำไปใช้พัฒนาระบบ IT ให้ทันสมัยเพื่อตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงไปได้อย่างรวดเร็ว ก้าวทันยุค Digital ในวันอังคารที่ 28 พฤษภาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้