บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ
บทความโดย: Thai Windows Administrator Blog
มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบริษัทวิจัยด้านความปลอดภัยในประเทศรัสเซียได้ค้นช่องโหว่ความปลอดภัย (Security Vulnerability) ในโปรแกรม Firefox 3.6 ซึ่งเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข โดยผลกระทบของช่องโหว่ความปลอดภัยนี้คือ แฮคเกอร์สามารถใช้ทำการยกระดับสิทธิ์เพื่อทำการเอ็กซีคิวท์โค้ดโปรแกรมบนระบบจากระยะไกลได้โดยที่ผู้ใช้ไม้รู้ตัวได้
โดยบริษัท InteVyDis ซึ่งเป็นผู้ค้นพบช่องโหว่ความปลอดภัยดังกล่าวนี้ ได้พัฒนาโค้ดโปรแกรมที่สามารถเจาะ (Exploit Code) โปรแกรม Firefox 3.6 สำเร็จเป็นที่เรียบร้อยแล้ว พร้อมทั้งได้ขายโค้ดโปรแกรมดังกล่าวนี้โดยรวมอยู่ในชุดซอฟต์แวร์ VulnDisco เวอร์ชันล่าสุด และเป็นแอด-ออน (add-on) โมดูล CANVAS สำหรับ Exploitation frameworks
สำหรับช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้ จะมีผลกระทบกับ Firefox 3.6 ซึ่งเป็นเวอร์ชันสเถียร (Stable) ตัวล่าสุดของเว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม และโค้ดโปรแกรมที่สามารถเจาะช่องโหว่ที่ค้นพบนั้นได้รับการทดสอบแล้วว่าสามารถทำงานได้บน Windows XP และ Windows Vista ในส่วนของระบบปฏิบัตการตัวอื่นๆ อย่าง Windows 7 และ MAC OS ยังไม่มีการการยืนยันผลการทำงานเนื่องจากยังไม่ได้ทำการทดสอบ (แต่มีความเป็นไปได้ว่าสามารถทำงานได้เช่นเดียวกัน)
สำหรับ InteVyDis นั้นเป็นบริษัทวิจัยด้านความปลอดภัยซึ่งมีสำนักงานตั้งอยู่ในกรุงมอสโก (Moscow) ประเทศรัสเซีย ก่อตั้งโดย Evgeny Legerov
อนึ่ง Secunia ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยชื่อดัง ได้จัดอันดับความร้ายแรงของช่องโหว่ความปลอดภัยของ Firefox 3.6 ที่ค้นพบนี้อยู่ในระดับ Highly Critical และจัดอยู่ในกลุ่ม Remote code execution vulnerability
ในด้าน Mozilla ซึ่งเป็นผู้พัฒนาเว็บเบราเซอร์ Firefox ได้ออกมาเปิดเผยว่า Mozilla นั้นได้ให้ความสำคัญกับเรื่องช่องโหว่ความปลอดภัยของซอฟต์แวร์อย่างจริงจัง แต่ปัจจุบันยังไม่สามารถพิสูจน์ได้ว่าการอ้างว่าสามารถเจาะ Firefox 3.6 ของ InteVyDis เป็นเรื่องจริงหรือไม่
นอกจากนี้ Mozilla ได้เรียกร้องให้นักวิจัยทางด้านความปลอดภัยร่วมมือกับ Mozilla ในการแก้ปัญหาช่องโหว่ความปลอดภัย รวมถึงมีความรับผิดชอบในการเปิดเผยช่องโหว่ความปลอดภัย ทั้งนี้เพื่อให้แน่ใจว่าเกิดประโยชน์สูงสุดต่อผู้ใช้
แหล่งข้อมูลอ้างอิง
• Softpedia
© 2010 TWA Blog. All Rights Reserved.
Saturday, February 20, 2010
New Zero-day Vulnerability Discovered in Firefox 3.6
Related Posts:
ถอดรหัสพาสเวิร์ดของ Remote Desktop และ IE7 AutoComplete ด้วย Cain & Abelแก้ไขล่าสุด: 20 มีนาคม 2552ถอดรหัสพาสเวิร์ดของ Remote Desktop และ IE7 AutoComplete ด้วย Cain & Abelบทความนี้จะแสดงวิธีการถอดรหัสพาสเวิร์ด Remote Desktop และ IE7 AutoComplete ซึ่งผู้ใช้บันทึกไว้บนเครื่อง ด้วยโปรแกรม Cain &… Read More
ไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง PowerPointไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง Microsoft Office PowerPointบทความโดย: Thai Windows Administrator Blogไมโครซอฟท์ ได้ออก Microsoft Security Advisory (969136): Vulnerability in Microsoft Office PowerPoint Could Allow … Read More
ไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง IISไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง Internet Information Services (IIS)บทความโดย: Thai Windows Administrator Blogไมโครซอฟท์ออก Microsoft Security Advisory (971492): Vulnerability in Internet Information Services Could … Read More
ไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง Excelไมโครซอฟท์เตือนให้ระวังการโจมตีระบบผ่านทาง Microsoft Office Excelบทความโดย: Thai Windows Administrator Blogไมโครซอฟท์ได้ออก Microsoft Security Advisory (968272) Vulnerability in Microsoft Office Excel Could Allow Remote Code … Read More
มาตรวจสอบความแข็งแกร่งของรหัสผ่านกันเถอะมาตรวจสอบความแข็งแกร่งของรหัสผ่านกันเถอะรหัสผ่านหรือพาสเวิร์ดเปรียบเสมือนกุญแจที่ปกป้องข้อมูลต่างๆ จากการเข้าถึงของผู้ที่ไม่ได้รับอนุญาตหรือผู้ที่ไม่มีสิทธิ์ ดังนั้นการเลือกพาสเวิร์ดที่ยิ่งแข็งแกร่งก็ยิ่งจะทำให้ข้อมูลมีความปล… Read More
0 Comment:
Post a Comment