Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินสำหรับ Firefox browser เพื่อแก้ไขช่องโหว่ Zero-day ระดับ Critical ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน
ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยของ ESET Damien Schaeffer โดยช่องโหว่นี้เป็นช่องโหว่ use-after-free ใน Animation timeline
CVE-2024-9680 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่เกิดขึ้นเมื่อหน่วยความจำที่ว่างยังคงใช้โดยโปรแกรม ทำให้ Hacker สามารถเพิ่มข้อมูลที่เป็นอันตรายลงในพื้นที่หน่วยความจำเพื่อเรียกใช้โค้ดที่เป็นอันตรายได้
Animation timeline เป็นส่วนหนึ่งของ Web Animations API ของ Firefox เป็นกลไกที่ควบคุม และซิงโครไนซ์แอนิเมชั่นบนเว็บเพจ
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Firefox เวอร์ชันล่าสุด (standard release) และรุ่น extended support release (ESR)
มีการแก้ไขในเวอร์ชันล่าสุดแล้ว ผู้ใช้ควรทำการอัปเกรดทันที :
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
เมื่อพิจารณาจากสถานะการโจมตีช่องโหว่ของ CVE-2024-9680 และการขาดข้อมูลใด ๆ เกี่ยวกับวิธีการกำหนดเป้าหมายการโจมตี Mozilla จึงแนะนำให้ผู้ใช้งานทำการอัปเกรดให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี
หากต้องการอัปเกรดเป็นเวอร์ชันล่าสุด ให้เปิด Firefox แล้วไปที่ Settings -> Help -> About Firefox จากนั้นการอัปเดตจะเริ่มต้นโดยอัตโนมัติ และต้องรีสตาร์ทโปรแกรมเพื่อให้การเปลี่ยนแปลงมีผล
ตลอดปี 2024 จนถึงตอนนี้ Mozilla แก้ไขช่องโหว่ zero-day บน Firefox เพียงครั้งเดียว เมื่อวันที่ 22 มีนาคม 2024 โดย Mozilla ได้เปิดตัวการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2024-29943 และ CVE-2024-29944 ซึ่งทั้งคู่เป็นช่องโหว่ความรุนแรงระดับ Critical ซึ่ง Manfred Paul เป็นผู้ค้นพบ และสาธิตการโจมตีให้เห็นในระหว่างงาน Pwn2Own Vancouver 2024 hacking
ที่มา : bleepingcomputer
You must be logged in to post a comment.