ช่องโหว่ Zero-days ใน Firefox และ Windows กำลังถูกโจมตีจากกลุ่มแฮ็กเกอร์ RomCom จากรัสเซีย

กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days สองรายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ

ช่องโหว่แรก (CVE-2024-9680) เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้ (more…)

Mozilla แก้ไขช่องโหว่ Zero-day บน Firefox ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉินสำหรับ Firefox browser เพื่อแก้ไขช่องโหว่ Zero-day ระดับ Critical ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน (more…)

Mozilla Faces กำลังเผชิญกับการร้องเรียนเรื่องความเป็นส่วนตัว จากการเปิดใช้การติดตามใน Firefox โดยไม่ได้รับความยินยอมจากผู้ใช้

องค์กรไม่แสวงหาผลกำไรด้านความเป็นส่วนตัวที่ตั้งอยู่ในเวียนนา ชื่อ NOYB (None Of Your Business) ได้ยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูลของออสเตรีย (DPA) ต่อ Mozilla ผู้สร้าง Firefox เนื่องจากได้เปิดใช้งานฟีเจอร์ใหม่ที่เรียกว่า Privacy Preserving Attribution (PPA) (more…)

Mozilla แก้ไขช่องโหว่ Zero-days ใน Firefox, Thunderbird ที่ถูกใช้ในงาน Pwn2Own

Mozilla ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Vancouver 2022

หากถูกโจมตีด้วยช่องโหว่ระดับ Critical 2 ช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์มือถือ และ Desktop ที่ใช้ Firefox, Firefox ESR, Firefox สำหรับ Android และ Thunderbird ในเวอร์ชันที่มีช่องโหว่

ช่องโหว่ Zero-day ได้รับการแก้ไขแล้วใน Firefox 100.0.2, Firefox ESR 91.9.1, Firefox สำหรับ Android 100.3 และ Thunderbird 91.9.1

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการแจ้งให้ผู้ดูแลระบบ และผู้ใช้งาน แก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบ

โดยทาง Mozilla ได้ใช้เวลาในการแก้ไขช่องโหว่เหล่านี้ 2 วัน หลังจากที่ถูกโจมตีในงานการแข่งขันการแฮ็ก Pwn2Own โดย Manfred Paul ซึ่งโดยปกติ Vendor ต่าง ๆ จะไม่รีบปล่อยแพตช์ของช่องโหว่ที่ถูกใช้หลังจากงาน Pwn2Own เนื่องจากพวกเขามีเวลาราวๆ 90 วันในการแก้ไขช่องโหว่ด้านความปลอดภัย จนกว่าที่จะมีการเปิดเผยรายละเอียดของวิธีการโจมตีต่อสาธารณะ

งาน Pwn2Own 2022 Vancouver ได้สิ้นสุดลงเมื่อวันที่ 20 พฤษภาคมหลังจากที่ผู้เข้าแข่งขัน 17 ราย ได้รับเงินรางวัลรวมทั้งหมด $1,155,000 สำหรับการหาช่องโหว่แบบ Zero-day เป็นระยะเวลา 3 วัน หลังจากมีการพยายามทดสอบการโจมตีไปทั้งสิ้น 21 ครั้ง

ที่มา: bleepingcomputer

งานแฮกระดับประเทศของจีน Tianfu Cup เข้าปีที่สาม ตบ iOS 14, Windows 10 และ Chrome ร่วง

งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ

Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท

นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย

การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน

ที่มา: zdnet

พบช่องโหว่ Zero-Day ใหม่ระดับ ‘Critical’ ผู้ใช้ Firefox รีบแพตช์ด่วน

พบช่องโหว่ Zero-Day ใหม่ระดับ ‘Critical’ ผู้ใช้ Firefox รีบแพตช์ด่วน

บริษัท Mozilla ได้เปิดตัวให้อัพเดตแพตช์ความปลอดภัยสำหรับ Firefox และ Firefox ESR เมื่อวันศุกร์ที่ผ่านมาโดยทำการแก้ไขช่องโหว่ Zero-Day ช่องโหว่ดังกล่าวจะอนุญาตให้ผู้โจมตีจากระยะไกลสามารถสั่งรันโค้ดที่เป็นอันตรายโจมตีเครื่องที่ใช้ Firefox เวอร์ชั่นก่อนหน้า 74.0.1 และ Firefox Extended Support Release 68.6.1 ช่องโหว่รายงานโดยนักวิจัยด้านความปลอดภัย Francisco Alonso และ Javier Marcos ของ JMP Security

รายละเอียดช่องโหว่

CVE-2020-6819: เป็นช่องโหว่ use-after-free ที่เกิดจาก browser component ที่ชื่อ “nsDocShell destructor” โดย nsDocShell เป็น client ที่อยู่ใน nsI-HttpChannel API ที่เป็นฟังก์ชันของเบราว์เซอร์เพื่ออ่าน HTTP headers
CVE-2020-6820: เป็นช่องโหว่ use-after-free ในการจัดการ ReadableStream ที่เชื่อมต่อกับ Streams API

บริษัท Mozilla ได้แนะนำผู้ใช้ Firefox เวอร์ชั่น ก่อนหน้า 74.0.1 และ Firefox ESR เวอร์ชั่น 68.6.1ให้รีบอัพเดตแพตช์โดยด่วน

ที่มา: threatpost

Firefox เตรียมยกเลิกการรองรับ FTP

บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกัน Code Injection ใน Firefox

 

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

Mozilla Firefox 67.0.3 Patches Actively Exploited Zero-Day

Mozilla ออกแพตช์เพื่อแก้ไขช่องโหว่ที่กำลังถูกโจมตี

Mozilla เปิดตัว Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่อแก้ไขช่องโหว่ในระดับความรุนแรง cirtical และอาจทำให้ผู้โจมตีสามารถสั่งรันโปรแกรมจากระยะไกลบนเครื่องที่ใช้ Firefox เวอร์ชั่นที่มีช่องโหว่ได้
Firefox และ Firefox ESR แก้ไข โดย Mozilla ซึ่งช่องโหว่ดังกล่าวได้รับการรายงานจาก Google Project Zero และทีมวิจัยจาก Coinbase โดย Mozilla แจ้งว่าพบการโจมตีด้วยช่องโหว่ดังกล่าวแล้ว

ช่องโหว่ CVE-2019-11707 เป็นช่องโหว่ประเภท type confusion เกิดขึ้นจาก Javascript บน Array.