Mozilla ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Vancouver 2022

หากถูกโจมตีด้วยช่องโหว่ระดับ Critical 2 ช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์มือถือ และ Desktop ที่ใช้ Firefox, Firefox ESR, Firefox สำหรับ Android และ Thunderbird ในเวอร์ชันที่มีช่องโหว่

ช่องโหว่ Zero-day ได้รับการแก้ไขแล้วใน Firefox 100.0.2, Firefox ESR 91.9.1, Firefox สำหรับ Android 100.3 และ Thunderbird 91.9.1

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการแจ้งให้ผู้ดูแลระบบ และผู้ใช้งาน แก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบ

โดยทาง Mozilla ได้ใช้เวลาในการแก้ไขช่องโหว่เหล่านี้ 2 วัน หลังจากที่ถูกโจมตีในงานการแข่งขันการแฮ็ก Pwn2Own โดย Manfred Paul ซึ่งโดยปกติ Vendor ต่าง ๆ จะไม่รีบปล่อยแพตช์ของช่องโหว่ที่ถูกใช้หลังจากงาน Pwn2Own เนื่องจากพวกเขามีเวลาราวๆ 90 วันในการแก้ไขช่องโหว่ด้านความปลอดภัย จนกว่าที่จะมีการเปิดเผยรายละเอียดของวิธีการโจมตีต่อสาธารณะ

งาน Pwn2Own 2022 Vancouver ได้สิ้นสุดลงเมื่อวันที่ 20 พฤษภาคมหลังจากที่ผู้เข้าแข่งขัน 17 ราย ได้รับเงินรางวัลรวมทั้งหมด $1,155,000 สำหรับการหาช่องโหว่แบบ Zero-day เป็นระยะเวลา 3 วัน หลังจากมีการพยายามทดสอบการโจมตีไปทั้งสิ้น 21 ครั้ง

ที่มา: bleepingcomputer

งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ

Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท

นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย

การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน

ที่มา: zdnet

พบช่องโหว่ Zero-Day ใหม่ระดับ ‘Critical’ ผู้ใช้ Firefox รีบแพตช์ด่วน

บริษัท Mozilla ได้เปิดตัวให้อัพเดตแพตช์ความปลอดภัยสำหรับ Firefox และ Firefox ESR เมื่อวันศุกร์ที่ผ่านมาโดยทำการแก้ไขช่องโหว่ Zero-Day ช่องโหว่ดังกล่าวจะอนุญาตให้ผู้โจมตีจากระยะไกลสามารถสั่งรันโค้ดที่เป็นอันตรายโจมตีเครื่องที่ใช้ Firefox เวอร์ชั่นก่อนหน้า 74.0.1 และ Firefox Extended Support Release 68.6.1 ช่องโหว่รายงานโดยนักวิจัยด้านความปลอดภัย Francisco Alonso และ Javier Marcos ของ JMP Security

รายละเอียดช่องโหว่

CVE-2020-6819: เป็นช่องโหว่ use-after-free ที่เกิดจาก browser component ที่ชื่อ “nsDocShell destructor” โดย nsDocShell เป็น client ที่อยู่ใน nsI-HttpChannel API ที่เป็นฟังก์ชันของเบราว์เซอร์เพื่ออ่าน HTTP headers
CVE-2020-6820: เป็นช่องโหว่ use-after-free ในการจัดการ ReadableStream ที่เชื่อมต่อกับ Streams API

บริษัท Mozilla ได้แนะนำผู้ใช้ Firefox เวอร์ชั่น ก่อนหน้า 74.0.1 และ Firefox ESR เวอร์ชั่น 68.6.1ให้รีบอัพเดตแพตช์โดยด่วน

ที่มา: threatpost

บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

 

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

Mozilla ออกแพตช์เพื่อแก้ไขช่องโหว่ที่กำลังถูกโจมตี

Mozilla เปิดตัว Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่อแก้ไขช่องโหว่ในระดับความรุนแรง cirtical และอาจทำให้ผู้โจมตีสามารถสั่งรันโปรแกรมจากระยะไกลบนเครื่องที่ใช้ Firefox เวอร์ชั่นที่มีช่องโหว่ได้
Firefox และ Firefox ESR แก้ไข โดย Mozilla ซึ่งช่องโหว่ดังกล่าวได้รับการรายงานจาก Google Project Zero และทีมวิจัยจาก Coinbase โดย Mozilla แจ้งว่าพบการโจมตีด้วยช่องโหว่ดังกล่าวแล้ว

ช่องโหว่ CVE-2019-11707 เป็นช่องโหว่ประเภท type confusion เกิดขึ้นจาก Javascript บน Array.

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

Mozilla ได้ออกแพทช์ปรับปรุงเพื่อแก้ไขช่องโหว่ต่างๆใน Firefox และ Firefox ESR ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการควบคุมระบบจากระยะไกล

ช่องโหว่ใน Firefox 63 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 3 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 4 รายการ และช่องโหว่ความรุนแรงระดับต่ำ (Low) 5 รายการ

ช่องโหว่ใน Firefox ESR 60.3 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 2 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 3 รายการ และช่องโหว่ระดับความรุนแรงต่ำ (Low) 1 รายการ

แนะนำให้ผู้ดูแลระบบและผู้ใช้งาน Mozilla ทำการอัปเดตแพทช์สำหรับ Firefox 63 และ Firefox ESR 60.3 ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:mozilla

Mozilla ประกาศแพตช์ด้านความปลอดภัยให้กับ Firefox และ Firefox ESR ซึ่งจะป้องกันผู้ใช้งานจากการโจมตีช่องโหว่ที่มีความรุนแรงระดับสูง 1 รายการ

ช่องโหว่ดังกล่าวที่รหัส CVE-2018- 5148 เป็นช่องโหว่ use-after-free ในส่วนของโปรแกรมที่เรียกว่า compositor ค้นพบโดย Jesse Schwartzentruber เมื่อช่องโหว่ดังกล่าวถูกโจมตีนั้นจะส่งผลให้โปรแกรมค้างและปิดตัวเองลง
Recommendation แพตช์สำหรับช่องโหว่นี้นั้นได้ถูกปล่อยออกมาแล้ว โดยผู้ใช้งานสามารถอัปเกรด Mozilla Firefox ให้เป็นรุ่น 59.02 และรุ่น 52.7.3 สำหรับ Firefox ESR เพื่อรับแพตช์ได้ทันที

ที่มา: us-cert