Saturday, February 20, 2010

Home » , » New Zero-day Vulnerability Discovered in Firefox 3.6

New Zero-day Vulnerability Discovered in Firefox 3.6

By  10:23:00 AM  No comments
บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ
บทความโดย: Thai Windows Administrator Blog

มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบริษัทวิจัยด้านความปลอดภัยในประเทศรัสเซียได้ค้นช่องโหว่ความปลอดภัย (Security Vulnerability) ในโปรแกรม Firefox 3.6 ซึ่งเป็นช่องโหว่ความปลอดภัยแบบ Zero-Day เนื่องจากยังไม่มีแพตซ์ (Patch) สำหรับใช้แก้ไข โดยผลกระทบของช่องโหว่ความปลอดภัยนี้คือ แฮคเกอร์สามารถใช้ทำการยกระดับสิทธิ์เพื่อทำการเอ็กซีคิวท์โค้ดโปรแกรมบนระบบจากระยะไกลได้โดยที่ผู้ใช้ไม้รู้ตัวได้

โดยบริษัท InteVyDis ซึ่งเป็นผู้ค้นพบช่องโหว่ความปลอดภัยดังกล่าวนี้ ได้พัฒนาโค้ดโปรแกรมที่สามารถเจาะ (Exploit Code) โปรแกรม Firefox 3.6 สำเร็จเป็นที่เรียบร้อยแล้ว พร้อมทั้งได้ขายโค้ดโปรแกรมดังกล่าวนี้โดยรวมอยู่ในชุดซอฟต์แวร์ VulnDisco เวอร์ชันล่าสุด และเป็นแอด-ออน (add-on) โมดูล CANVAS สำหรับ Exploitation frameworks

สำหรับช่องโหว่ความปลอดภัยที่ค้นพบในครั้งนี้ จะมีผลกระทบกับ Firefox 3.6 ซึ่งเป็นเวอร์ชันสเถียร (Stable) ตัวล่าสุดของเว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม และโค้ดโปรแกรมที่สามารถเจาะช่องโหว่ที่ค้นพบนั้นได้รับการทดสอบแล้วว่าสามารถทำงานได้บน Windows XP และ Windows Vista ในส่วนของระบบปฏิบัตการตัวอื่นๆ อย่าง Windows 7 และ MAC OS ยังไม่มีการการยืนยันผลการทำงานเนื่องจากยังไม่ได้ทำการทดสอบ (แต่มีความเป็นไปได้ว่าสามารถทำงานได้เช่นเดียวกัน)

สำหรับ InteVyDis นั้นเป็นบริษัทวิจัยด้านความปลอดภัยซึ่งมีสำนักงานตั้งอยู่ในกรุงมอสโก (Moscow) ประเทศรัสเซีย ก่อตั้งโดย Evgeny Legerov

อนึ่ง Secunia ซึ่งเป็นบริษัทที่ปรึกษาด้านความปลอดภัยชื่อดัง ได้จัดอันดับความร้ายแรงของช่องโหว่ความปลอดภัยของ Firefox 3.6 ที่ค้นพบนี้อยู่ในระดับ Highly Critical และจัดอยู่ในกลุ่ม Remote code execution vulnerability

ในด้าน Mozilla ซึ่งเป็นผู้พัฒนาเว็บเบราเซอร์ Firefox ได้ออกมาเปิดเผยว่า Mozilla นั้นได้ให้ความสำคัญกับเรื่องช่องโหว่ความปลอดภัยของซอฟต์แวร์อย่างจริงจัง แต่ปัจจุบันยังไม่สามารถพิสูจน์ได้ว่าการอ้างว่าสามารถเจาะ Firefox 3.6 ของ InteVyDis เป็นเรื่องจริงหรือไม่

นอกจากนี้ Mozilla ได้เรียกร้องให้นักวิจัยทางด้านความปลอดภัยร่วมมือกับ Mozilla ในการแก้ปัญหาช่องโหว่ความปลอดภัย รวมถึงมีความรับผิดชอบในการเปิดเผยช่องโหว่ความปลอดภัย ทั้งนี้เพื่อให้แน่ใจว่าเกิดประโยชน์สูงสุดต่อผู้ใช้

แหล่งข้อมูลอ้างอิง
Softpedia

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • Mozilla Firefox 3.0.1 Portable EditionFirefox 3.0.1 Portable EditionFirefox 3.0.1 Portable Edition คือ Firefox เวอร์ชันที่สามารถใช้งานได้โดยไม่ต้องทำการติดตั้งลงบนเครื่อง เหมาะสำหรับการเก็บไว้ในแฟลชไดรฟ์เพื่อพกพาไปใช้บนเครื่องต่างๆ โดย Firefox 3.0.1 Portable Edit… Read More
  • Mozilla Firefox 3.0.2 RC build 6Mozilla Firefox 3.0.2 RC build 6มีความเคลื่อนไหวของ Mozilla Firefox เวอร์ชัน 3.0.2 โดยเมื่อวันที่ 17 กันยายน 2551 ที่ผ่านมา Mozilla ได้ออกเวอร์ชัน 3.0.2 RC build 6 ซึ่งสามารถทำการดาวนโหลดได้จากเว็บไซต์ของ Mozilla.orgการดาวน์โ… Read More
  • วิธีการอัพเดท Firefox เวอร์ชันใหม่วิธีการอัพเดท Firefox เวอร์ชันใหม่โดยดีฟอลท์ Firefox จะตั้งค่าให้ทำการตรวจสอบการอัพเดทเวอร์ชันใหม่ทุกครั้งที่เปิดโปรแกรม และหากพบว่ามีการออกเวอร์ชันใหม่ก็จะทำการดาวน์โหลด และทำการติดตั้งอัพเดทโดยอัตโนมัติเมื่อมีการปิดหรือรีสต… Read More
  • Mozilla Firefox 2.0.0.17Mozilla Firefox 2.0.0.17Release Date: 23 กันยายน 2551Mozilla ออก Firefox เวอร์ชัน 2.0.0.17 เพื่อแก้ปัญหาบั๊กต่างๆ ที่พบใน Mozilla Firefox 2.0.0.16 ตามรายละเอียดด้านล่างFirefox 2.0.0.17 New FeaturesFirefox ในเวอร์ชัน 2.0.0.17 … Read More
  • Mozilla เปิดให้ดาวน์โหลด Firefox 3.1 Alpha 2Mozilla เปิดให้ดาวน์โหลด Firefox 3.1 Alpha 2มีความเคลื่อนไหวของ Mozilla Firefox เวอร์ชัน 3.1 โดยทาง Mozilla ได้ออกเวอร์ชัน Alpha 2 ให้นักพัฒนาและผู้สนทำการดาวน์โหลดไปทดลองใช้งาน โดยดาวน์โหลดได้จากเว็บไซต์ http://www.mozilla.o… Read More

0 Comment:

Post a Comment