Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการ ในเบราว์เซอร์ของ Firefox ที่อาจถูกใช้ในการเข้าถึงข้อมูลสำคัญ หรือเรียกใช้โค้ดที่เป็นอันตรายบนระบบของเหยื่อได้
ช่องโหว่ทั้งสองรายการนี้ ถูกใช้ในการโจมตีแบบ Zero-Day ในงาน Pwn2Own Berlin โดยมีรายละเอียดดังนี้ :
- CVE-2025-4918 – ช่องโหว่ Out-of-bounds access ขณะประมวลผล Promise objects ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript Promise object ได้
- CVE-2025-4919 – ช่องโหว่ Out-of-bounds access ในขณะที่ทำการปรับปรุงประสิทธิภาพของ Optimizing linear sums ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript object ได้ โดยการทำให้ Array index sizes เกิดความสับสน
การโจมตีที่ประสบความสำเร็จโดยอาศัยช่องโหว่ใดช่องโหว่หนึ่ง อาจทำให้ผู้ไม่หวังดีสามารถอ่าน หรือเขียนข้อมูล Out-of-bounds ของหน่วยความจำได้ ซึ่งสามารถนำไปใช้ในการเข้าถึงข้อมูลสำคัญที่ปกติไม่สามารถเข้าถึงได้ หรือทำให้เกิดการเสียหายของหน่วยความจำ (memory corruption) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนระบบได้
ช่องโหว่ดังกล่าว ส่งผลกระทบต่อเบราว์เซอร์ Firefox ในเวอร์ชันดังต่อไปนี้ :
- Firefox ทุกเวอร์ชันก่อนหน้า 138.0.4 (รวมถึง Firefox สำหรับ Android ด้วย)
- Firefox Extended Support Release (ESR) ทุกเวอร์ชันก่อนหน้า 128.10.1
- Firefox ESR ทุกเวอร์ชันก่อนหน้า 115.23.1
Edouard Bochin และ Tao Yan จากบริษัท Palo Alto Networks ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ CVE-2025-4918 ส่วนการค้นพบช่องโหว่ CVE-2025-4919 นั้นเป็นผลงานของ Manfred Paul
ช่องโหว่ทั้งสองรายการนี้ ได้ถูกนำมาสาธิตการโจมตีในงานแข่งแฮ็กเกอร์ Pwn2Own Berlin เมื่อสัปดาห์ที่ผ่านมา ซึ่งผู้ค้นพบช่องโหว่แต่ละคนจะได้รับเงินรางวัล 50,000 ดอลลาร์สหรัฐ
เนื่องจากเว็บเบราว์เซอร์ยังคงเป็นช่องทางยอดนิยมในการแพร่กระจายมัลแวร์ ผู้ใช้งานจึงควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้
Mozilla ระบุว่า “ไม่มีการโจมตีใดสามารถ break out ออกจาก sandbox ได้ ซึ่งเป็นสิ่งสำคัญในการควบคุมระบบของผู้ใช้ ถึงแม้ว่าผลกระทบจากการโจมตีครั้งนี้จะถูกจำกัด แต่ Mozilla ก็แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบทุกคนให้ทำการอัปเดต Firefox โดยเร็วที่สุด"
ที่มา : thehackernews.com
You must be logged in to post a comment.