Saturday, February 20, 2010

Home » , » New Zero-day Vulnerability Discovered in Firefox 3.6

New Zero-day Vulnerability Discovered in Firefox 3.6

By  10:23:00 AM  No comments
บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ
บทความโดย: Thai Windows Administrator Blog

มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบริษัทวิจัยด้านความปลอดภัยในประเทศรัสเซียได้ค้นช่องโหว่ความปลอดภัย (Security Vulnerability) ในโปรแกรม Firefox 3.6 ซึ่งเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข โดยผลกระทบของช่องโหว่ความปลอดภัยนี้คือ แฮคเกอร์สามารถใช้ทำการยกระดับสิทธิ์เพื่อทำการเอ็กซีคิวท์โค้ดโปรแกรมบนระบบจากระยะไกลได้โดยที่ผู้ใช้ไม้รู้ตัวได้

โดยบริษัท InteVyDis ซึ่งเป็นผู้ค้นพบช่องโหว่ความปลอดภัยดังกล่าวนี้ ได้พัฒนาโค้ดโปรแกรมที่สามารถเจาะ (Exploit Code) โปรแกรม Firefox 3.6 สำเร็จเป็นที่เรียบร้อยแล้ว พร้อมทั้งได้ขายโค้ดโปรแกรมดังกล่าวนี้โดยรวมอยู่ในชุดซอฟต์แวร์ VulnDisco เวอร์ชันล่าสุด และเป็นแอด-ออน (add-on) โมดูล CANVAS สำหรับ Exploitation frameworks

สำหรับช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้ จะมีผลกระทบกับ Firefox 3.6 ซึ่งเป็นเวอร์ชันสเถียร (Stable) ตัวล่าสุดของเว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม และโค้ดโปรแกรมที่สามารถเจาะช่องโหว่ที่ค้นพบนั้นได้รับการทดสอบแล้วว่าสามารถทำงานได้บน Windows XP และ Windows Vista ในส่วนของระบบปฏิบัตการตัวอื่นๆ อย่าง Windows 7 และ MAC OS ยังไม่มีการการยืนยันผลการทำงานเนื่องจากยังไม่ได้ทำการทดสอบ (แต่มีความเป็นไปได้ว่าสามารถทำงานได้เช่นเดียวกัน)

สำหรับ InteVyDis นั้นเป็นบริษัทวิจัยด้านความปลอดภัยซึ่งมีสำนักงานตั้งอยู่ในกรุงมอสโก (Moscow) ประเทศรัสเซีย ก่อตั้งโดย Evgeny Legerov

อนึ่ง Secunia ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยชื่อดัง ได้จัดอันดับความร้ายแรงของช่องโหว่ความปลอดภัยของ Firefox 3.6 ที่ค้นพบนี้อยู่ในระดับ Highly Critical และจัดอยู่ในกลุ่ม Remote code execution vulnerability

ในด้าน Mozilla ซึ่งเป็นผู้พัฒนาเว็บเบราเซอร์ Firefox ได้ออกมาเปิดเผยว่า Mozilla นั้นได้ให้ความสำคัญกับเรื่องช่องโหว่ความปลอดภัยของซอฟต์แวร์อย่างจริงจัง แต่ปัจจุบันยังไม่สามารถพิสูจน์ได้ว่าการอ้างว่าสามารถเจาะ Firefox 3.6 ของ InteVyDis เป็นเรื่องจริงหรือไม่

นอกจากนี้ Mozilla ได้เรียกร้องให้นักวิจัยทางด้านความปลอดภัยร่วมมือกับ Mozilla ในการแก้ปัญหาช่องโหว่ความปลอดภัย รวมถึงมีความรับผิดชอบในการเปิดเผยช่องโหว่ความปลอดภัย ทั้งนี้เพื่อให้แน่ใจว่าเกิดประโยชน์สูงสุดต่อผู้ใช้

แหล่งข้อมูลอ้างอิง
Softpedia

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • Firefox 5.0 Beta 6 is now available for downloadFirefox 5.0 Beta 6 ออกให้ดาวน์โหลดแล้ว อัปเดท 16 มิถุนายน 2554: โมซิลลาออก Firefox 5.0 Beta 7 สามารถดาวน์โหลดได้ที่เว็บไซต์ Download Firefox 5.0 Beta 7 (All Systems & Languages) วันที่ 14 มิถุนายน 2554: โมซิลลาเปิดให้ผู้… Read More
  • Firefox 4 Final Available for Downloadโมซิลลาเปิดให้ดาวน์โหลด Firefox 4 Final แล้ว อัปเดทล่าสุด: 21.20 น. วันอังคารที่ 22 มี.ค. 54 - โมซิลลาเปิดให้ดาวน์โหลด Firefox 4 Final อย่างเป็นทางการแล้ว หลังจากใช้เวลาในการพัฒนานานกว่า 10 เดือน และมีการออกเวอร์ชัน Beta จำน… Read More
  • Download Mozilla Firefox 3.0.6ดาวน์โหลด Mozilla Firefox 3.0.6 Release Date: 4 มกราคม 2552 Mozilla ออก Firefox เวอร์ชัน 3.0.6 ซึ่งเป็น Release แรกของปี 2552 โดยในเวอร์ชัน 3.0.6 นี้ได้รับการแก้ปัญหาเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่พบในเวอร์ชันก่อนหน้า แ… Read More
  • คอนฟิก Firefox ให้สวิทซ์ไปหน้าแท็บใหม่โดยอัตโนมัติเมื่อ Open Link in New Tabการคอนฟิก Firefox ให้สวิทซ์การทำงานไปแท็บใหม่โดยอัตโนมัติเมื่อ Open Link in New Tab บทความโดย: Thai Windows Administrator Blog โดยดีฟอลท์ เมื่อผู้ใช้ทำการเปิดหน้าเว็บใหม่การคลิกขวาที่ลิงก์แล้วเลือก Open Link in New Tab นั้น … Read More
  • Firefox 4.0.1 Update Available for Downloadโมซิลลาปรับปรุงการทำงาน Firefox 4 โดยออก Firefox 4.0.1 หลังจากออก Firefox 4 เวอร์ชันเสร็จสมบูรณ์เป็นเวลา 5 สัปดาห์ โมซิลลาก็ทำการปรับปรุงการทำงานเป็นครั้งแรกด้วยการออก Firefox 4.0.1 (Macaw) โดยวัตถุประสงค์หลักของการออกเวอร์ชั… Read More

0 Comment:

Post a Comment