New Zero-day Vulnerability Discovered in Firefox 3.6 ~ Windows Administrator Blog

Saturday, February 20, 2010

New Zero-day Vulnerability Discovered in Firefox 3.6

By dtp 10:23:00 AM No comments

บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ
บทความโดย: Thai Windows Administrator Blog

มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบริษัทวิจัยด้านความปลอดภัยในประเทศรัสเซียได้ค้นช่องโหว่ความปลอดภัย (Security Vulnerability) ในโปรแกรม Firefox 3.6 ซึ่งเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข โดยผลกระทบของช่องโหว่ความปลอดภัยนี้คือ แฮคเกอร์สามารถใช้ทำการยกระดับสิทธิ์เพื่อทำการเอ็กซีคิวท์โค้ดโปรแกรมบนระบบจากระยะไกลได้โดยที่ผู้ใช้ไม้รู้ตัวได้

โดยบริษัท InteVyDis ซึ่งเป็นผู้ค้นพบช่องโหว่ความปลอดภัยดังกล่าวนี้ ได้พัฒนาโค้ดโปรแกรมที่สามารถเจาะ (Exploit Code) โปรแกรม Firefox 3.6 สำเร็จเป็นที่เรียบร้อยแล้ว พร้อมทั้งได้ขายโค้ดโปรแกรมดังกล่าวนี้โดยรวมอยู่ในชุดซอฟต์แวร์ VulnDisco เวอร์ชันล่าสุด และเป็นแอด-ออน (add-on) โมดูล CANVAS สำหรับ Exploitation frameworks

สำหรับช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้ จะมีผลกระทบกับ Firefox 3.6 ซึ่งเป็นเวอร์ชันสเถียร (Stable) ตัวล่าสุดของเว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม และโค้ดโปรแกรมที่สามารถเจาะช่องโหว่ที่ค้นพบนั้นได้รับการทดสอบแล้วว่าสามารถทำงานได้บน Windows XP และ Windows Vista ในส่วนของระบบปฏิบัตการตัวอื่นๆ อย่าง Windows 7 และ MAC OS ยังไม่มีการการยืนยันผลการทำงานเนื่องจากยังไม่ได้ทำการทดสอบ (แต่มีความเป็นไปได้ว่าสามารถทำงานได้เช่นเดียวกัน)

สำหรับ InteVyDis นั้นเป็นบริษัทวิจัยด้านความปลอดภัยซึ่งมีสำนักงานตั้งอยู่ในกรุงมอสโก (Moscow) ประเทศรัสเซีย ก่อตั้งโดย Evgeny Legerov

อนึ่ง Secunia ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยชื่อดัง ได้จัดอันดับความร้ายแรงของช่องโหว่ความปลอดภัยของ Firefox 3.6 ที่ค้นพบนี้อยู่ในระดับ Highly Critical และจัดอยู่ในกลุ่ม Remote code execution vulnerability

ในด้าน Mozilla ซึ่งเป็นผู้พัฒนาเว็บเบราเซอร์ Firefox ได้ออกมาเปิดเผยว่า Mozilla นั้นได้ให้ความสำคัญกับเรื่องช่องโหว่ความปลอดภัยของซอฟต์แวร์อย่างจริงจัง แต่ปัจจุบันยังไม่สามารถพิสูจน์ได้ว่าการอ้างว่าสามารถเจาะ Firefox 3.6 ของ InteVyDis เป็นเรื่องจริงหรือไม่

นอกจากนี้ Mozilla ได้เรียกร้องให้นักวิจัยทางด้านความปลอดภัยร่วมมือกับ Mozilla ในการแก้ปัญหาช่องโหว่ความปลอดภัย รวมถึงมีความรับผิดชอบในการเปิดเผยช่องโหว่ความปลอดภัย ทั้งนี้เพื่อให้แน่ใจว่าเกิดประโยชน์สูงสุดต่อผู้ใช้

แหล่งข้อมูลอ้างอิง
• Softpedia

© 2010 TWA Blog. All Rights Reserved.