Mozilla ออกแพตซ์อุตช่องโหว่ความเสี่ยงระดับสูงใน Thunderbird หลายรายการ

Mozilla ได้ออกแพตซ์แก้ไขช่องโหว่ความเสี่ยงระดับ Critical และ High หลายรายการบน Thunderbird หรืออีเมลไคลเอนต์ไอเพ่นซอร์สในเวอร์ชัน 52.5.2 ซึ่งตัวโปรแกรมเองได้ให้บริการ รายงานข่าว (RSS feed) และใช้แชทได้ด้วย โดยช่องโหว่สามารถทำให้โปรแกรมเกิดทำงานผิดพลาด อีกทั้งยังมีช่องโหว่ที่ส่งผลกระทบกับส่วน RSS และอีเมลเช่นกัน

credit : Ryerson University

ช่องโหว่ระดับวิกฤต CVE-2017-7845 ทำให้เกิด Buffer Overflow

ช่องโหว่นี้จะเกิดขึ้นกับระบบปฏิบัติการ Windows เท่านั้นซึ่ง Bug จะเกิดเมื่อมีการใช้ Direct 3D 9 (เป็นกราฟฟิค API ของ Windows และเป็นส่วนหนึ่งของ DirectX เพื่อแสดงผลภาพ 3 มิติ) กับไลบรารี่ที่ชื่อ ‘Angle’ เพื่อวาดรูปและตรวจสอบองค์ประกอบซึ่งนำไปสู่การเกิด Buffer Overflow เหตุผลคือมีค่าที่ไม่ถูกต้องผ่านมาจากไลบรารี่ดังกล่าวระหว่างขั้นตอนการตรวจสอบและแสดงผลลัพธ์ทำให้เกิดการทำงานผิดพลาดได้ รายงานจากเว็บ Mozilla

ช่องโหว่ระดับสูง CVE-2017-7846 และ CVE-2017-7847 กระทบกับส่วน RSS feed

CVE-2017-7846 ทำให้เกิด Execute JavaScript ได้หากมีการเปิดแสดงผล Website ผ่านส่วน RSS feed (ถ้าใครเคยใช้ RSS feed มันจะมีลิ้งพาเราไปหน้าเว็บจริงได้) และ CVE-2017-7847 สามารถทำให้ Cascading Style Sheet (CSS หรือส่วนช่วยแสดงผลหน้าเว็บ เช่น สี Layout หรือ ฟอนต์ตัวหนังสือ เป็นต้น) ที่ถูกสร้างขึ้นเป็นพิเศษใน RSS feed รั่วไหลหรือเผยถึง Path ของ String ที่อาจจะประกอบด้วย Username ของผู้ใช้งาน

ช่องโหว่ระดับกลาง CVE-2017-7848 ทำให้สามารถแทรกบรรทัดใหม่เข้าไปในโครงสร้างอีเมลที่อนุญาตให้แก้ไขข้อความใน Body ได้ และ CVE-2017-7828 ถูกจัดอยู่ในระดับต่ำแต่สามารถทำให้เกิดการแสดงผลที่อยู่ผู้ส่งจริงเป็นที่อยู่อื่น ถ้าหากที่อยู่ผู้ส่งถูกต่อท้ายด้วย Null Character ในการแสดงผล String โดยมันอาจจะถูกนำไปใช้สร้างอีเมลหลอกลวงได้

ที่มา : https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/ และ https://www.scmagazine.com/mozilla-patches-one-critical-two-high-flaws-in-thunderbird/article/720762/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปลี่ยนประสบการณ์การทำงานและการให้บริการ ผสานข้อมูล Location ภายในอาคารเข้ากับ Application ของธุรกิจและองค์กร

"ประสบการณ์" ได้กลายเป็นประเด็นสำคัญที่หลายๆ ธุรกิจเริ่มหยิบยกมาเป็นประเด็นแข่งขันเพื่อเอาชนะใจลูกค้าด้วย Customer Experience ไปจนถึงการเพิ่มประสิทธิภาพการทำงานของพนักงานในองค์กรเองก็ตามที ซึ่ง Aruba ผู้นำทางด้านระบบเครือข่ายสำหรับธุรกิจองค์กรเองนั้น ก็ได้มีลูกค้าทั่วโลกมากมายที่ทำการเปลี่ยนประสบการณ์ทั้งสำหรับลูกค้าและพนักงานภายในองค์กร ด้วยการนำข้อมูล Location หรือตำแหน่งภายในอาคารมาประยุกต์ใช้ เพื่อสร้างประสบการณ์รูปแบบใหม่ให้กับสินค้า, บริการ และกระบวนการในการทำงานต่างๆ ให้ดียิ่งขึ้นในมุมที่หลายคนอาจคิดไม่ถึงกันมาก่อน

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้