Saturday, February 20, 2010

Home » , » New Zero-day Vulnerability Discovered in Firefox 3.6

New Zero-day Vulnerability Discovered in Firefox 3.6

By  10:23:00 AM  No comments
บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ
บทความโดย: Thai Windows Administrator Blog

มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบริษัทวิจัยด้านความปลอดภัยในประเทศรัสเซียได้ค้นช่องโหว่ความปลอดภัย (Security Vulnerability) ในโปรแกรม Firefox 3.6 ซึ่งเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข โดยผลกระทบของช่องโหว่ความปลอดภัยนี้คือ แฮคเกอร์สามารถใช้ทำการยกระดับสิทธิ์เพื่อทำการเอ็กซีคิวท์โค้ดโปรแกรมบนระบบจากระยะไกลได้โดยที่ผู้ใช้ไม้รู้ตัวได้

โดยบริษัท InteVyDis ซึ่งเป็นผู้ค้นพบช่องโหว่ความปลอดภัยดังกล่าวนี้ ได้พัฒนาโค้ดโปรแกรมที่สามารถเจาะ (Exploit Code) โปรแกรม Firefox 3.6 สำเร็จเป็นที่เรียบร้อยแล้ว พร้อมทั้งได้ขายโค้ดโปรแกรมดังกล่าวนี้โดยรวมอยู่ในชุดซอฟต์แวร์ VulnDisco เวอร์ชันล่าสุด และเป็นแอด-ออน (add-on) โมดูล CANVAS สำหรับ Exploitation frameworks

สำหรับช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้ จะมีผลกระทบกับ Firefox 3.6 ซึ่งเป็นเวอร์ชันสเถียร (Stable) ตัวล่าสุดของเว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม และโค้ดโปรแกรมที่สามารถเจาะช่องโหว่ที่ค้นพบนั้นได้รับการทดสอบแล้วว่าสามารถทำงานได้บน Windows XP และ Windows Vista ในส่วนของระบบปฏิบัตการตัวอื่นๆ อย่าง Windows 7 และ MAC OS ยังไม่มีการการยืนยันผลการทำงานเนื่องจากยังไม่ได้ทำการทดสอบ (แต่มีความเป็นไปได้ว่าสามารถทำงานได้เช่นเดียวกัน)

สำหรับ InteVyDis นั้นเป็นบริษัทวิจัยด้านความปลอดภัยซึ่งมีสำนักงานตั้งอยู่ในกรุงมอสโก (Moscow) ประเทศรัสเซีย ก่อตั้งโดย Evgeny Legerov

อนึ่ง Secunia ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยชื่อดัง ได้จัดอันดับความร้ายแรงของช่องโหว่ความปลอดภัยของ Firefox 3.6 ที่ค้นพบนี้อยู่ในระดับ Highly Critical และจัดอยู่ในกลุ่ม Remote code execution vulnerability

ในด้าน Mozilla ซึ่งเป็นผู้พัฒนาเว็บเบราเซอร์ Firefox ได้ออกมาเปิดเผยว่า Mozilla นั้นได้ให้ความสำคัญกับเรื่องช่องโหว่ความปลอดภัยของซอฟต์แวร์อย่างจริงจัง แต่ปัจจุบันยังไม่สามารถพิสูจน์ได้ว่าการอ้างว่าสามารถเจาะ Firefox 3.6 ของ InteVyDis เป็นเรื่องจริงหรือไม่

นอกจากนี้ Mozilla ได้เรียกร้องให้นักวิจัยทางด้านความปลอดภัยร่วมมือกับ Mozilla ในการแก้ปัญหาช่องโหว่ความปลอดภัย รวมถึงมีความรับผิดชอบในการเปิดเผยช่องโหว่ความปลอดภัย ทั้งนี้เพื่อให้แน่ใจว่าเกิดประโยชน์สูงสุดต่อผู้ใช้

แหล่งข้อมูลอ้างอิง
Softpedia

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • โมซิลล่าออก Firefox 17.0.1 แก้ปัญหาการแสดงผลตัวอักษรการออกอัปเดทเพื่อแก้ปัญหาการทำงานหรือปัญหาความปลอดภัยกำลังกลายเป็นเรื่องปกติของ Firefox ก่อนหน้านี้ เวอร์ชัน 16.0.1 ออกหลังจากเวอร์ชัน 16.0 เพียง 2 วัน เช่นเดียวกันกับเวอร์ชัน 15.0.1 ออกหลังจากเวอร์ชัน 15.0 เป็นเวลา 10 วัน แล… Read More
  • สำรวจคุณลักษณะใหม่ใน Firefox 18.0 BetaFirefox 18.0 เวอร์ชันเต็มมีกำหนดออกในวันที่ 6 มกราคม 2556 ซึ่งในขณะที่เขียนเรื่องนี้การพัฒนาได้ก้าวหน้าถึงเวอร์ชัน Beta 5 แล้ว สำหรับการเปลี่ยนแปลงใน Firefox 18.0 จะมุ่งด้านการปรับปรุงประสิทธิภาพของ JavaScript โดยการใช้ IonMo… Read More
  • โมซิลล่าออก Firefox 16.0.2 เพื่อแก้ช่องโหว่ความปลอดภัยร้ายแรงที่ใช้โจมตีแบบ Cross-Site Scripting ได้โมซิลล่าออก Firefox 16.0.2 เพื่อแก้ปัญหาช่องโหว่ความปลอดภัยร้ายแรง CVE-2012-4194 ที่สามารถใช้ทำการโจมตีผู้ใช้แบบ Cross-Site Scripting (XSS) ได้ โดยช่องโหว่ดังกล่าวนี้จะเกิดขึ้นเมื่อตั้งค่าพารามิเตอร์ window.location เป็น true… Read More
  • Mozilla เปิดให้ดาวน์โหลด Firefox 4.0 Beta 6 แล้วMozilla Firefox 4.0 Beta 6 ออกเร็วกว่าที่คาด โดย Mozilla ได้เปิดให้ผู้สนใจดาวน์โหลด Mozilla Firefox 4.0 Beta 6 ไปทดลองใช้งานได้แล้วเมื่อวันที่ 15 กันยายน 2553 ที่ผานมา โดยในเวอร์ชัน Beta 6 นี้เป็นเวอร์ชันที่ออกเพื่อแก้ปัญหาเส… Read More
  • Mozilla Firefox 3.6.10 แก้ไขปัญหาเสถียรภาพการทำงานMozilla ออก Firefox 3.6.10 เป็นการกรณีเร่งด่วนเพื่อแก้ไขปัญหาเสถียรภาพการทำงานที่ได้รับแจ้งจากผู้ใช้ที่พบใน Firefox 3.6.9 โดยเวอร์ชัน 3.6.10 นี้ออกในวันที่ 15 กันยายน 2553 (ตรงกับวันที่ 16 ก.ย. ตามเวลาในประเทศไทย) ออกหลังจากเ… Read More

0 Comment:

Post a Comment