Mozilla ออกอัปเดต Firefox 136.0.4 เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับ Critical ที่ทำให้ผู้ไม่หวังดีสามารถ escape จาก Sandbox ของเว็บเบราว์เซอร์บนระบบ Windows ได้
ช่องโหว่นี้มีหมายเลข CVE-2025-2857 และได้รับการรายงานโดย Andrew McCreight นักพัฒนาของ Mozilla
ช่องโหว่นี้ส่งผลกระทบกับ Firefox Standard เวอร์ชันล่าสุด และเวอร์ชัน Extended Support Release (ESR) ซึ่งออกแบบมาสำหรับองค์กรที่ต้องการการสนับสนุนระยะยาวสำหรับการใช้งานจำนวนมาก โดย Mozilla ได้แก้ไขช่องโหว่นี้ใน Firefox 136.0.4 และ Firefox ESR เวอร์ชัน 115.21.1 และ 128.8.1
แม้ว่า Mozilla จะไม่ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับ CVE-2025-2857 แต่ระบุว่าช่องโหว่นี้มีลักษณะคล้ายกับช่องโหว่ Zero-Day ของ Chrome ที่กำลังถูกใช้ในการโจมตี และได้รับการแก้ไขโดย Google เมื่อต้นสัปดาห์นี้
Mozilla ระบุไว้ใน advisory เมื่อวันพฤหัสบดีที่ผ่านมาว่า "หลังจากเกิดการ escape จาก sandbox ในช่องโหว่ CVE-2025-2783 นักพัฒนา Firefox หลายคนพบรูปแบบที่คล้ายกันในโค้ด IPC ของเรา ผู้ไม่หวังดีสามารถทำให้ parent process สับสนจนเกิดการรั่วไหลของ handle ไปยัง child processes ที่ไม่มีสิทธิ์เพียงพอ ซึ่งนำไปสู่การ escape จาก Sandbox ได้"
"ช่องโหว่ดั้งเดิมเคยถูกใช้ในการโจมตีจริงบนระบบ Windows เท่านั้น ระบบปฏิบัติการอื่นไม่ได้รับผลกระทบ"
ช่องโหว่ Zero-Day ของ Chrome ถูกใช้โจมตีเป้าหมายในรัสเซีย
Boris Larin และ Igor Kuznetsov จาก Kaspersky ซึ่งเป็นผู้ค้นพบ และรายงานช่องโหว่ CVE-2025-2783 กับ Google เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า "ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริงเพื่อหลีกเลี่ยงการป้องกันจาก Sandbox ของ Chrome และติดตั้งมัลแวร์ที่มีความซับซ้อนบนอุปกรณ์เป้าหมาย"
พวกเขาพบว่ามีการใช้ช่องโหว่ CVE-2025-2783 ในการโจมตีทางไซเบอร์เพื่อการจารกรรมภายใต้ปฏิบัติการที่เรียกว่า "Operation ForumTroll" ซึ่งมุ่งเป้าไปที่หน่วยงานรัฐบาลรัสเซีย และนักข่าวจากสื่อรัสเซียที่ไม่เปิดเผยชื่อ
นักวิจัยระบุว่า "ช่องโหว่ CVE-2025-2783 ทำให้เราสับสนอย่างมาก เพราะแม้ผู้ไม่หวังดีจะไม่ทำสิ่งที่ดูเป็นอันตราย แต่พวกเขากลับสามารถหลีกเลี่ยงการป้องกัน Sandbox ของ Google Chrome ได้ราวกับมันไม่มีอยู่เลย"
อีเมลที่เป็นอันตรายมีการเชิญชวนที่ดูเหมือนจะมาจากผู้จัดงานฟอรัมทางวิทยาศาสตร์ และผู้เชี่ยวชาญ "Primakov Readings" ซึ่งมุ่งเป้าไปที่สื่อมวลชน, สถาบันการศึกษา และหน่วยงานรัฐบาลในรัสเซีย
ในเดือนตุลาคม Mozilla ยังได้แก้ไขช่องโหว่ Zero-Day (CVE-2024-9680) ในฟีเจอร์ Animation Timeline ของ Firefox ซึ่งถูกใช้โดยกลุ่มผู้ไม่หวังดี RomCom ที่ตั้งอยู่ในรัสเซีย ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันโค้ดใน Sandbox ของเว็บเบราว์เซอร์ได้
ช่องโหว่นี้ถูกใช้ร่วมกับช่องโหว่ Zero-Day ของ Windows ที่เกี่ยวข้องกับการยกระดับสิทธิ์ (CVE-2024-49039) ซึ่งช่วยให้ผู้ไม่หวังดีจากรัสเซียสามารถรันโค้ดนอก Sandbox ของ Firefox ได้ เหยื่อของพวกเขาถูกหลอกให้เข้าเยี่ยมชมเว็บไซต์ที่ถูกควบคุมโดยผู้ไม่หวังดี ซึ่งจะดาวน์โหลด และรัน Backdoor ของ RomCom บนอุปกรณ์ของพวกเขา
หลายเดือนก่อนหน้านี้ Mozilla ได้แก้ไขช่องโหว่ Zero-Day ของ Firefox สองรายการ ภายในหนึ่งวันหลังจากที่ถูกใช้ในการโจมตีในงาน Pwn2Own Vancouver 2024 hacking competition
ที่มา : bleepingcomputer
You must be logged in to post a comment.