Breaking News

Mozilla ออกแพตซ์อุตช่องโหว่ความเสี่ยงระดับสูงใน Thunderbird หลายรายการ

Mozilla ได้ออกแพตซ์แก้ไขช่องโหว่ความเสี่ยงระดับ Critical และ High หลายรายการบน Thunderbird หรืออีเมลไคลเอนต์ไอเพ่นซอร์สในเวอร์ชัน 52.5.2 ซึ่งตัวโปรแกรมเองได้ให้บริการ รายงานข่าว (RSS feed) และใช้แชทได้ด้วย โดยช่องโหว่สามารถทำให้โปรแกรมเกิดทำงานผิดพลาด อีกทั้งยังมีช่องโหว่ที่ส่งผลกระทบกับส่วน RSS และอีเมลเช่นกัน

credit : Ryerson University

ช่องโหว่ระดับวิกฤต CVE-2017-7845 ทำให้เกิด Buffer Overflow

ช่องโหว่นี้จะเกิดขึ้นกับระบบปฏิบัติการ Windows เท่านั้นซึ่ง Bug จะเกิดเมื่อมีการใช้ Direct 3D 9 (เป็นกราฟฟิค API ของ Windows และเป็นส่วนหนึ่งของ DirectX เพื่อแสดงผลภาพ 3 มิติ) กับไลบรารี่ที่ชื่อ ‘Angle’ เพื่อวาดรูปและตรวจสอบองค์ประกอบซึ่งนำไปสู่การเกิด Buffer Overflow เหตุผลคือมีค่าที่ไม่ถูกต้องผ่านมาจากไลบรารี่ดังกล่าวระหว่างขั้นตอนการตรวจสอบและแสดงผลลัพธ์ทำให้เกิดการทำงานผิดพลาดได้ รายงานจากเว็บ Mozilla

ช่องโหว่ระดับสูง CVE-2017-7846 และ CVE-2017-7847 กระทบกับส่วน RSS feed

CVE-2017-7846 ทำให้เกิด Execute JavaScript ได้หากมีการเปิดแสดงผล Website ผ่านส่วน RSS feed (ถ้าใครเคยใช้ RSS feed มันจะมีลิ้งพาเราไปหน้าเว็บจริงได้) และ CVE-2017-7847 สามารถทำให้ Cascading Style Sheet (CSS หรือส่วนช่วยแสดงผลหน้าเว็บ เช่น สี Layout หรือ ฟอนต์ตัวหนังสือ เป็นต้น) ที่ถูกสร้างขึ้นเป็นพิเศษใน RSS feed รั่วไหลหรือเผยถึง Path ของ String ที่อาจจะประกอบด้วย Username ของผู้ใช้งาน

ช่องโหว่ระดับกลาง CVE-2017-7848 ทำให้สามารถแทรกบรรทัดใหม่เข้าไปในโครงสร้างอีเมลที่อนุญาตให้แก้ไขข้อความใน Body ได้ และ CVE-2017-7828 ถูกจัดอยู่ในระดับต่ำแต่สามารถทำให้เกิดการแสดงผลที่อยู่ผู้ส่งจริงเป็นที่อยู่อื่น ถ้าหากที่อยู่ผู้ส่งถูกต่อท้ายด้วย Null Character ในการแสดงผล String โดยมันอาจจะถูกนำไปใช้สร้างอีเมลหลอกลวงได้

ที่มา : https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/ และ https://www.scmagazine.com/mozilla-patches-one-critical-two-high-flaws-in-thunderbird/article/720762/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Enterprise Container Management with Google Kubernetes Engine

สำหรับผู้ที่ไม่เข้าฟังบรรยาย Tangerine | Google Webinar เรื่อง “Enterprise Container Management with Google Kubernetes Engine (GKE)” พร้อมสาธิตความสามารถเด็ดของ …

ขอเรียนเชิญเข้าร่วมฟังสัมมนาออนไลน์ Emerging Stronger Series

การแพร่ระบาดของ COVID-19 ก่อให้เกิดผลกระทบไปทั่วทุกมุมโลก การเตรียมความพร้อมและวางแผนรับมือที่ชัดเจนกับความไม่แน่นอนท่ามกลาง “ความปกติใหม่” ที่เกิดขึ้น รวมถึงกลยุทธ์ดิจิทัลทรานส์ฟอร์เมชั่นที่องค์กรตั้งรับในวันนี้ จะเป็นตัวกำหนดความสำเร็จอย่างยั่งยืนในอนาคต