ข่าว IT ล่าสุด
ถูกใจอย่าลืม Like Fanpage
ช็อค!!! พบช่องโหว่ใน Firefox 3.5.1
แสดงแล้ว 5824 ครั้ง /
กรกฎาคม 21, 2009, 08:19:04

Moshi

ออฟไลน์
กระทู้ : 16,996
คะแนนขอบคุณ : 45
it4x สังคมแห่งการเรียนรู้
[เอ.อาร์.ไอ.พี, www.arip.co.th] เมื่อวันศุกร์ที่ผ่านมา Mozilla ได้ออก Firefox 3.5.1 เวอร์ชันอัพเดตที่ได้รับการแก้ไขช่องโหว่ตัวคอมไพล์ JIT ของจาวาสคริทป์ ล่าสุดมีรายงานข่าวยืนยันว่า พบช่องโหว่ใหม่ที่มีการจัดทำโค้ดอันตรายออกมาแล้ว โดยจะส่งผลกระทบกับ Firefox 3.5.1และเวอร์ชันอื่นๆ ที่อาจะโดนเล่นงานผ่านช่องโหว่ดังกล่าว

รายงานพบช่องโหว่นี้มาจาก SANS Internet Storm Center ตามด้วย IBM ISS X-Force alert ที่ยืนยันว่า ช่องโหว่ดังกล่าวเป็นเรื่องจริง และมันสามารถใช้ได้กับ Firefox 3.5.1 เวอร์ชันอัพเดตล่าสุดด้วย สำหรับรายละเอียดของช่องโหว่ที่พบจะเป็นส่วนการทำงานที่สามารถเกิดบัฟเฟอร์โอเว่อร์โฟลว (การใช้หน่วยความจำมากกว่าที่โปรแกรมจองไว้) จากส่วนจัดการหน่วยความจำแบบสแต็คผ่านทางเน็ต ซึ่งทำให้เกิดขึ้นได้โดยส่งข้อความยาวๆ ที่เป็นข้อมูลยูนิโค้ดเข้าไปใน document.write.method ผลลัพธ์จากการทำให้เกิดโอเว่อร์โฟลวจะนำไปสู่การสั่งรันโค้ดอันตรายบนระบบของเหยื่อได้ หรือหากไม่สามารถทำให้เกิดเหตุการณ์ข้างต้นได้ มันก็สามารถนำไปใช้โจมตีในรูปแบบ DoS ช่องโหว่ดังกล่าวได้มีการทำโค้ดพิสูจน์ทราบตามคอนเซปต์แล้ว โดยสามารถดูโค้ดได้ที่นี่ 



Update: ล่าสุดทาง Mozilla ได้ออกมาตอบโต้รายงานของ SANS และ IBM แล้วว่า "ไม่ถูกต้อง" โดยผลจากการทดสอบภายในของบริษัท ช่องโหว่ดังกล่าวไม่สามารถนำไปใช้ได้จริง "สองสามวันทีผ่านมา มีรายงานมากมาย(รวมถึงที่มาจาก SANS) เกี่ยวกับข้อผิดพลาดพี่บใน Firefox โดยเฉพาะส่วนที่เกี่ยวข้องกับการจัดการสตริงยูนิโค้ดทีมีความยาวมากๆ ซึ่งอ้างว่า มันสามารถล่มการทำงานของ Firefox ในบางเวอร์ชัน ทั้งนี้รายงานที่ได้เผยแพร่ผ่านตัวแทนผู้เกี่ยวข้องต่างๆ ที่ระบุว่า ข้อผิดพลาดของการทำงานดังกล่าวสามารถนำไปใช้ได้ จากการวิเคราะห์ของเราพบว่า มันไม่ได้เป็นเช่นนั้น และเราไม่พบตัวอย่างของการใช้ช่องโหว่ดังกล่าวด้วย" Mike Shaver โพสต์ข้อความไว้ในบล็อก Mozilla Security "ผลจากการวินิจฉัยของเรา เราไม่เชื่อว่า สิ่งที่กล่าวอ้างกันมานั้นจะเป็นช่องโหว่ที่สามารถใช้งานได้ใน Firefox ยิ่งไปกว่านั้น เราเชื่อว่า รายงานของ IBM มีข้อผิดพลาด และรายงานการจัดอันดับความรุนแรงของ National Vulnerability Database ไม่ถูกต้อง เราได้ติดต่อไปยังทั้งสองหน่วยงานแล้ว และหวังว่าจะได้รับการแก้ไขโดยเร็ว" ความหมายโดยสรุปก็คือ Firefox 3.5.1 มีข้อผิดพลาดของการทำงาน (bug) ในลักษณะดังกล่าว แต่มันไม่สามารถนำไปใช้ (exploitable) ในการโจมตีระบบของผู้ใช้ได้ อย่างมากก็ทำได้แค่ล่มการทำงานของ Firefox เท่านั้น


 

ด้วยฟังค์ชั่น ตอบด่วน คุณสามารถใช้โค๊ดและ เครื่องหมายแสดงอารมณ์ได้ เหมือนการตั้งกระทู้ธรรมดา แต่สามารถทำได้สะดวกกว่า

ระวัง: หัวข้อนี้ไม่มีการอัพเดทมานานถึง 120 วัน

แจ้งเตือน: โพสของคุณจะไม่แสดงจนกว่าผู้ดูแลจะอนุมัติ.
ชื่อ: อีเมล์: