นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ extensions บนเบราว์เซอร์ของ Mozilla Firefox ที่เป็นอันตรายมากกว่า 40 รายการ ที่ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญจาก cryptocurrency wallet ซึ่งส่งผลให้ digital assets ของผู้ใช้ตกอยู่ในความเสี่ยง

Yuval Ronen นักวิจัยจาก Koi Security เปิดเผยว่า "Extensions เหล่านี้ ปลอมตัวเป็นแอป legitimate wallet ที่ถูกต้องจากแพลตฟอร์มที่ใช้กันอย่างแพร่หลาย อย่างเช่น Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet และ Filfox"

แคมเปญขนาดใหญ่นี้ถูกคาดว่าเริ่มดำเนินการมาตั้งแต่เดือนเมษายน 2025 และยังคงมีการอัปโหลด extensions ใหม่ ๆ ไปยัง Add-ons store ของ Firefox ล่าสุดเมื่อสัปดาห์ที่แล้ว

"Extensions ที่ถูกตรวจพบเหล่านี้ ใช้วิธีเพิ่มความนิยมโดยการสร้างรีวิวปลอมจำนวนมาก ด้วยการเพิ่มรีวิว 5 ดาวหลายร้อยครั้ง ทั้งที่มียอดดาวน์โหลดจริงน้อยมาก กลยุทธ์นี้ถูกนำมาใช้เพื่อทำให้ดูน่าเชื่อถือ และทำให้ดูเหมือนว่าเป็น extensions ที่ถูกใช้งานอย่างแพร่หลาย เพื่อหลอกให้ผู้ใช้ที่ไม่ทันระวังให้ทำการติดตั้งลงไป"

อีกหนึ่งเทคนิคที่ผู้โจมตีใช้เพื่อสร้างความน่าเชื่อถือ คือการปลอมแปลง add-ons เหล่านี้ให้ดูเหมือนเป็นแอป legitimate wallet ที่ถูกต้อง โดยใช้ชื่อ และโลโก้เดียวกัน

เนื่องจากบางส่วนของ extensions เป็นแบบ open-source ทำให้ผู้โจมตีสามารถคัดลอก source code ต้นฉบับ แล้วแทรกฟังก์ชันการทำงานที่เป็นอันตรายของตนเองเข้าไป เพื่อขโมย wallet keys และ seed phrases จากเว็บไซต์ของเป้าหมาย ก่อนที่จะส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี นอกจากนี้ยังพบว่า extensions ที่เป็นอันตรายเหล่านี้มีการส่ง IP addresses ของเหยื่อออกไปอีกด้วย

สิ่งที่แตกต่างจากการหลอกลวงแบบ phishing ทั่วไปที่ใช้เว็บไซต์ หรืออีเมลปลอมก็คือ extensions เหล่านี้ทำงานอยู่ภายในเบราว์เซอร์ของผู้ใช้โดยตรง ทำให้ยากต่อการตรวจจับ หรือบล็อกได้ด้วย traditional endpoint tools

Ronen ระบุว่า "แนวทางที่ใช้ความพยายามน้อย แต่ได้ผลตอบแทนสูงนี้ ทำให้ผู้โจมตีสามารถรักษาประสบการณ์การใช้งานที่ผู้ใช้คาดหวังไว้ได้ ในขณะเดียวกันก็ลดโอกาสที่จะถูกตรวจพบได้ในทันที"

การพบข้อความที่เป็นภาษารัสเซียใน source code รวมถึง metadata จากไฟล์ PDF ที่ได้มาจาก C2 server ที่ใช้ในการโจมตีครั้งนี้ ล้วนชี้เบาะแสว่ากลุ่มที่อยู่เบื้องหลังน่าจะเป็นผู้โจมตีที่ใช้ภาษารัสเซีย

Add-ons ที่ถูกระบุทั้งหมด ยกเว้น MyMonero Wallet ได้ถูก Mozilla ลบออกไปเรียบร้อยแล้ว เมื่อเดือนมิถุนายน 2025 ที่ผ่านมา และ Mozilla เปิดเผยว่า ได้พัฒนาระบบตรวจจับล่วงหน้า (early detection system) เพื่อค้นหา และบล็อก crypto wallet extensions ที่หลอกลวง ก่อนที่ extensions เหล่านั้นจะได้รับความนิยมในหมู่ผู้ใช้ และถูกนำไปใช้เพื่อขโมย assets ด้วยการหลอกให้ผู้ใช้กรอกข้อมูล credentials

เพื่อลดความเสี่ยงจากภัยคุกคามดังกล่าว ขอแนะนำให้ผู้ใช้ติดตั้ง extensions เฉพาะจากผู้พัฒนาที่ได้รับการยืนยันแล้วเท่านั้น และควรตรวจสอบให้แน่ใจว่า extensions เหล่านั้นไม่มีพฤติกรรมแอบแฝง หรือเปลี่ยนแปลงการทำงานในภายหลังการติดตั้ง

ที่มา : https://thehackernews.

Mozilla ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ระดับ Critical ใน Firefox ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบของเหยื่อได้โดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้ (more…)

Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการ ในเบราว์เซอร์ของ Firefox ที่อาจถูกใช้ในการเข้าถึงข้อมูลสำคัญ หรือเรียกใช้โค้ดที่เป็นอันตรายบนระบบของเหยื่อได้

ช่องโหว่ทั้งสองรายการนี้ ถูกใช้ในการโจมตีแบบ Zero-Day ในงาน Pwn2Own Berlin โดยมีรายละเอียดดังนี้ :

CVE-2025-4918 – ช่องโหว่ Out-of-bounds access ขณะประมวลผล Promise objects ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript Promise object ได้
CVE-2025-4919 – ช่องโหว่ Out-of-bounds access ในขณะที่ทำการปรับปรุงประสิทธิภาพของ Optimizing linear sums ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript object ได้ โดยการทำให้ Array index sizes เกิดความสับสน

การโจมตีที่ประสบความสำเร็จโดยอาศัยช่องโหว่ใดช่องโหว่หนึ่ง อาจทำให้ผู้ไม่หวังดีสามารถอ่าน หรือเขียนข้อมูล Out-of-bounds ของหน่วยความจำได้ ซึ่งสามารถนำไปใช้ในการเข้าถึงข้อมูลสำคัญที่ปกติไม่สามารถเข้าถึงได้ หรือทำให้เกิดการเสียหายของหน่วยความจำ (memory corruption) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนระบบได้

ช่องโหว่ดังกล่าว ส่งผลกระทบต่อเบราว์เซอร์ Firefox ในเวอร์ชันดังต่อไปนี้ :

Firefox ทุกเวอร์ชันก่อนหน้า 138.0.4 (รวมถึง Firefox สำหรับ Android ด้วย)
Firefox Extended Support Release (ESR) ทุกเวอร์ชันก่อนหน้า 128.10.1
Firefox ESR ทุกเวอร์ชันก่อนหน้า 115.23.1

Edouard Bochin และ Tao Yan จากบริษัท Palo Alto Networks ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ CVE-2025-4918 ส่วนการค้นพบช่องโหว่ CVE-2025-4919 นั้นเป็นผลงานของ Manfred Paul

ช่องโหว่ทั้งสองรายการนี้ ได้ถูกนำมาสาธิตการโจมตีในงานแข่งแฮ็กเกอร์ Pwn2Own Berlin เมื่อสัปดาห์ที่ผ่านมา ซึ่งผู้ค้นพบช่องโหว่แต่ละคนจะได้รับเงินรางวัล 50,000 ดอลลาร์สหรัฐ

เนื่องจากเว็บเบราว์เซอร์ยังคงเป็นช่องทางยอดนิยมในการแพร่กระจายมัลแวร์ ผู้ใช้งานจึงควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้

Mozilla ระบุว่า “ไม่มีการโจมตีใดสามารถ break out ออกจาก sandbox ได้ ซึ่งเป็นสิ่งสำคัญในการควบคุมระบบของผู้ใช้ ถึงแม้ว่าผลกระทบจากการโจมตีครั้งนี้จะถูกจำกัด แต่ Mozilla ก็แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบทุกคนให้ทำการอัปเดต Firefox โดยเร็วที่สุด"

ที่มา : thehackernews.

Mozilla ได้ยืนยันอีกครั้งถึงความมุ่งมั่นในการสนับสนุน extensions ที่ใช้ Manifest V2 ควบคู่ไปกับ Manifest V3 ทำให้ผู้ใช้สามารถเลือกใช้ extensions ที่ต้องการในเบราว์เซอร์ของตนได้อย่างอิสระ (more…)

Google และ Mozilla ประกาศออกแพตช์อัปเดตด้านความปลอดภัยใหม่สำหรับ Chrome เวอร์ชัน 133 และ Firefox เวอร์ชัน 135 ในวันอังคารที่ 18 กุมภาพันธ์ 2025 ที่ผ่านมา เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง ซึ่งเกี่ยวข้องกับปัญหาด้านความปลอดภัยของหน่วยความจำใน Browser

การอัปเดต Chrome ล่าสุดอยู่ระหว่างดำเนินการบน Windows, macOS, และ Linux พร้อมแพตช์สำหรับช่องโหว่ระดับความรุนแรงสูงสองรายการ และระดับความรุนแรงปานกลางหนึ่งรายการ ซึ่งทั้งหมดถูกรายงานจากนักวิจัยภายนอกองค์กร

รายการแรกคือ CVE-2025-0999 ซึ่งเป็นช่องโหว่ Heap buffer overflow ใน JavaScript Engine V8 ที่อาจถูกใช้เพื่อดำเนินการรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) โดยทาง Google ระบุว่า ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ (Bug Bounty Reward) ซึ่งมีมูลค่ากว่า 11,000 ดอลลาร์สำหรับช่องโหว่นี้

โดยช่องโหว่ด้านความปลอดภัยรายการที่สอง ซึ่งมีหมายเลข CVE-2025-1426 เป็นช่องโหว่ Heap buffer overflow ใน GPU component ของ Chrome โดยขณะนี้ Google ยังไม่ได้กำหนดจำนวนเงินรางวัลสำหรับช่องโหว่นี้

การอัปเดตล่าสุดของ Chrome รวมถึงการแก้ไขช่องโหว่ use-after-free ระดับความรุนแรงปานกลางใน Network component ซึ่ง Google ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ ซึ่งมีมูลค่ากว่า 4,000 ดอลลาร์สำหรับช่องโหว่นี้

Google ปฏิเสธในส่วนของการเปิดเผยข้อมูล รวมถึงรายละเอียดเชิงลึกของช่องโหว่ดังกล่าว และไม่ได้มีการระบุถึงเหตุการณ์ที่ช่องโหว่เหล่านี้ถูกนำไปใช้งาน ซึ่งเป็นไปตามปกติของโครงการฯ (Bug Bounty Programme)

Chrome เวอร์ชันล่าสุดที่อยู่ระหว่างอัปเดตคือเวอร์ชัน 133.0.6943.126/.127 สำหรับ Windows และ macOS รวมถึงเวอร์ชัน 133.0.6943.126 สำหรับ Linux

ในวันอังคารที่ 18 กุมภาพันธ์ 2025 Mozilla ประกาศแพตซ์อัปเดต Firefox เวอร์ชัน 135.0.1 พร้อมการแก้ไขช่องโหว่ด้านความปลอดภัยของหน่วยความจำที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2025-1414 โดยมีการแจ้งเตือนเพิ่มเติมว่าช่องโหว่ดังกล่าวอาจนำไปสู่การดำเนินการรันโค้ดที่เป็นอันตราย (Code Execution) ได้

Mozilla ระบุว่า “มีช่องโหว่ด้านความปลอดภัยของหน่วยความจำ ใน Firefox เวอร์ชัน 135 โดยที่บางช่องโหว่เหล่านี้ส่งผลให้เกิดความเสียหายในหน่วยความจำ (Memory Corruption) และทางบริษัทเชื่อว่า หากผู้ไม่หวังดีมีความพยายามเพียงพอ ช่องโหว่บางรายการเหล่านี้อาจถูกนำไปใช้เพื่อรันโค้ดที่เป็นอันตรายตามที่แฮ็กเกอร์ต้องการได้”

คำแนะนำ ผู้ใช้งานควรอัปเดต Browser Chrome และ Firefox ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ที่มา : securityweek.

กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days สองรายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ

ช่องโหว่แรก (CVE-2024-9680) เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้ (more…)

Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินสำหรับ Firefox browser เพื่อแก้ไขช่องโหว่ Zero-day ระดับ Critical ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน (more…)

องค์กรไม่แสวงหาผลกำไรด้านความเป็นส่วนตัวที่ตั้งอยู่ในเวียนนา ชื่อ NOYB (None Of Your Business) ได้ยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูลของออสเตรีย (DPA) ต่อ Mozilla ผู้สร้าง Firefox เนื่องจากได้เปิดใช้งานฟีเจอร์ใหม่ที่เรียกว่า Privacy Preserving Attribution (PPA) (more…)

Mozilla ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Vancouver 2022

หากถูกโจมตีด้วยช่องโหว่ระดับ Critical 2 ช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์มือถือ และ Desktop ที่ใช้ Firefox, Firefox ESR, Firefox สำหรับ Android และ Thunderbird ในเวอร์ชันที่มีช่องโหว่

ช่องโหว่ Zero-day ได้รับการแก้ไขแล้วใน Firefox 100.0.2, Firefox ESR 91.9.1, Firefox สำหรับ Android 100.3 และ Thunderbird 91.9.1

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการแจ้งให้ผู้ดูแลระบบ และผู้ใช้งาน แก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบ

โดยทาง Mozilla ได้ใช้เวลาในการแก้ไขช่องโหว่เหล่านี้ 2 วัน หลังจากที่ถูกโจมตีในงานการแข่งขันการแฮ็ก Pwn2Own โดย Manfred Paul ซึ่งโดยปกติ Vendor ต่าง ๆ จะไม่รีบปล่อยแพตช์ของช่องโหว่ที่ถูกใช้หลังจากงาน Pwn2Own เนื่องจากพวกเขามีเวลาราวๆ 90 วันในการแก้ไขช่องโหว่ด้านความปลอดภัย จนกว่าที่จะมีการเปิดเผยรายละเอียดของวิธีการโจมตีต่อสาธารณะ

งาน Pwn2Own 2022 Vancouver ได้สิ้นสุดลงเมื่อวันที่ 20 พฤษภาคมหลังจากที่ผู้เข้าแข่งขัน 17 ราย ได้รับเงินรางวัลรวมทั้งหมด $1,155,000 สำหรับการหาช่องโหว่แบบ Zero-day เป็นระยะเวลา 3 วัน หลังจากมีการพยายามทดสอบการโจมตีไปทั้งสิ้น 21 ครั้ง

ที่มา: bleepingcomputer

งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ

Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท

นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย

การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน

ที่มา: zdnet