Multiple Zero Day Firefox Vulnerability
ประกาศเมื่อ : 16 กุมภาพันธ์ 2550
เรียบเรียงโดย : เลอศักดิ์ ลิ้มวิวัฒน์กุล
แก้ไขข้อความ : ณัฐพงษ์ แสงเลิศศิลปชัย
กล่าวโดยทั่วไป
มีช่องโหว่ที่ยังไม่ได้รับการปรับปรุงในเว็บบราวเซอร์ Mozilla Firefox เวอร์ชันล่าสุดทั้งเวอร์ชัน 1.5.0.9 และ 2.0.0.1 หลายช่องโหว่ ส่งผลกระทบให้ผู้บุกรุกสามารถเข้าถึงข้อมูลไฟล์บนระบบ เข้าถึงข้อมูลส่วนบุคคลผ่านทาง Cookie รวมถึงหลีกเลี่ยงกลไกการตรวจสอบเว็บไซต์ที่เป็นอันตรายภายใน Mozilla Firefox เช่น Phishing Site ได้
คำอธิบาย
5 กุมภาพันธ์ 2550 : Popup Blocker Vulnerability Allows Reading Local Files : พบช่องโหว่ในส่วนการป้องกันการป๊อปอัพ ส่งผลกระทบให้ผู้บุกรุกสามารถเข้าถึงข้อมูลบนระบบได้ ช่องโหว่เกิดจากการใช้ฟังก์ชันในการสร้างไฟล์ชั่วคราวเมื่อเกิดการดาวน์โหลดไฟล์จากภายนอก ทำให้สามารถเดาชื่อไฟล์ชั่วคราว และใช้ประโยชน์จากไฟล์ชั่วคราวที่ทราบเพื่อเข้าถึงข้อมูลไฟล์อื่นบนระบบตามความต้องการของผู้บุกรุกได้ ส่งผลกระทบกับ Mozilla Firefox เวอร์ชัน 1.5.0.9
7 กุมภาพันธ์ 2550 : Phishing Protection Bypass Vulnerability : พบช่องโหว่ของกลไกการป้องกัน Phishing บน Mozilla Firefox เวอร์ชัน 2.0.0.1 ในส่วนการประมวลผลการตรวจสอบชื่อของเว็บไซต์ที่เข้าถึง ช่องโหว่ดังกล่าวเกิดขึ้นได้จากการเพิ่มอักขระพิเศษบางตัวให้กับลิงก์ เมื่อผู้ใช้ต้องการเชื่อมต่อผ่านลิงก์ดังกล่าวเข้าไปยังเว็บไซต์จะผ่านการตรวจสอบรายชื่อเว็บไซต์ Phishing ก่อน อักขระพิเศษจะทำให้กลไกดังกล่าวให้คำตอบว่าเว็บไซต์นั้นไม่เป็น Phishing Site หารายละเอียดเพิ่มเติมได้ใน Bug 367538
11 กุมภาพันธ์ 2550 : Focus Bug Stealing Vulnerability : พบช่องโหว่ของการจัดการอีเวนต์บน Mozilla Firefox ทั้งเวอร์ชัน 1.5.0.9 และเวอร์ชัน 2.0.0.1 ในส่วนการประมวลผลผิดพลาดของส่วนจัดการอีเวนต์การกรอกข้อมูลผ่านฟอร์มและการอัพโหลดข้อมูล ผลกระทบจากช่องโหว่ดังกล่าวอนุญาตให้ผู้บุกรุกสามารถเข้าถึงไฟล์ข้อมูลภายในระบบได้ รวมถึงการแก้ไขข้อมูลภายในไฟล์นั้นจากระยะไกลด้วย นอกจากนี้ยังพบว่าช่องโหว่ดังกล่าวสามารถเกิดขึ้นได้กับ Microsoft Internet Explorer 7 ด้วยเช่นเดียวกัน
14 กุมภาพันธ์ 2550 : "location.hostname" Cross-Domain Vulnerability : พบช่องโหว่ในการประมวลผลฟังก์ชัน "location.hostname" ของ Javascript บน Mozilla Firefox เวอร์ชัน 2.0.0.1 ช่องโหว่ดังกล่าวเกิดขึ้นได้เนื่องจากการจัดการ URI ที่มีอักขระประเภท "NULL" ร่วมอยู่ด้วย ทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูล Cookie บนเครื่องผู้ใช้งานและปลอมแปลง Cookie เพื่อเข้าถึงข้อมูลส่วนบุคคลบนเว็บไซต์อื่นที่ต้องใช้การพิสูจน์ตัวตน หาข้อมูลเพิ่มเติมได้ใน VU#885753
ผลกระทบ
เข้าถึงและแก้ไขไฟล์ข้อมูลบนระบบ ซึ่งถ้าเป็นไฟล์สำคัญอาจจะส่งผลกระทบต่อความปลอดภัยของระบบโดยรวมได้ เข้าถึงข้อมูลส่วนบุคคลผ่านทางการขโมย Cookie หลีกเลี่ยงการตรวจจับเว็บไซต์ที่ไม่ปลอดภัยหรือเข้าข่าย Phishing Site ได้ ระบบที่ได้รับผลกระทบ
Mozilla Firefox 1.5.0.9 Mozilla Firefox 2.0.0.1
การแก้ไข
ปัจจุบันผู้พัฒนา Mozilla Firefox ยังไม่ได้ออกโปรแกรมปรับปรุงช่องโหว่ดังกล่าว อย่างไรก็ตามผู้ใช้สามารถป้องกันได้โดยยกเลิกการใช้งานฟังก์ชัน Javascript และอ่านเพิ่มเติมเกี่ยวกับการป้องกันตนเองในการท่องเว็บอย่างปลอดภัยที่ Securing Your Web Browser ผลกระทบจากช่องโหว่ทั้งหมดอาศัยการเข้าถึงเว็บไซต์ที่มีสคริปต์ซึ่งใช้ประโยชน์จากช่องโหว่ในการทำงาน ดังนั้นในช่วงเวลานี้ควรหลีกเลี่ยงการเข้าเว็บไซต์ที่ไม่รู้จักหรือไม่มั่นใจว่าปลอดภัย
(ข้อความจาก THAICERT-ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย)
Rainbow Warrior
Wastewater
Contaminated wastewater pours into a public canal in Thailand from an industrial treatment plant.
Melting Ice
Valentine's Rose
For A Special One
Lacuna Coil
Breaking Benjamin
Green Day
Silverchair
Theatre of Tragedy
Darling Violetta
Poets of The Fall
Mary Elizabeth McGlynn
Nickel Back
Train
ไม่มีความคิดเห็น:
แสดงความคิดเห็น