Mozilla ออกแพตช์ช่องโหว่ Zero-day ที่เกิดขึ้นใน Firefox หลังถูกเจาะในงาน Pwn2Own ที่ผ่านมา
Mozilla ได้ออกแพตช์ช่องโหว่ Zero-days จำนวน 2 ตัว ที่เกิดขึ้นใน Firefox หลังถูกเจาะโดย Manfred Paul ในงาน Pwn2Own ที่ผ่านมา ซึ่งจัดขึ้นโดย Zero Day Initiative (ZDI) โดยช่องโหว่ทั้งสองตัวอยู่ในระดับ Critical ทำให้เขาได้รับเงินรางวัลไปกว่า 1 แสนเหรียญจากการค้นพบช่องโหว่นี้ ในงาน Pwn2Own มีช่องโหว่แบบ Zero-day ใหม่ถูกเจาะมากกว่า 29 ตัวในหลายผลิตภัณฑ์ โดย Mozilla เป็นเจ้าแรกที่ทำการอัปเดตแพตช์ออกมาอย่างรวดเร็ว ผู้ใช้งานสามารถอัปเดตไปใช้งาน Firefox เวอร์ชัน 124.0.1 เพื่อแพตช์ช่องโหว่ได้แล้ว
สำหรับช่องโหว่ทั้งสองตัวมีรายละเอียดดังนี้
- CVE-2024-29943: ทำให้ผู้โจมตีสามารถทำ Out-of-bounds read หรือ write ลงบน JavaScript object ได้
- CVE-2024-29944: ทำให้ผู้โจมตีสามารถ Inject Event Handler ลงใน Privileged object ทำให้สามารถรันคำสั่ง JavaScript ลงใน Parent process ได้ โดยช่องโหว่นี้เกิดขึ้นใน Firefox เวอร์ชัน Desktop เท่านั้น ไม่กระทบ Firefox เวอร์ชัน Mobile
ที่มา: https://www.theregister.com/2024/03/25/mozilla_fixes_firefox_zerodays/