บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

 

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

Mozilla ออกแพตช์เพื่อแก้ไขช่องโหว่ที่กำลังถูกโจมตี

Mozilla เปิดตัว Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่อแก้ไขช่องโหว่ในระดับความรุนแรง cirtical และอาจทำให้ผู้โจมตีสามารถสั่งรันโปรแกรมจากระยะไกลบนเครื่องที่ใช้ Firefox เวอร์ชั่นที่มีช่องโหว่ได้
Firefox และ Firefox ESR แก้ไข โดย Mozilla ซึ่งช่องโหว่ดังกล่าวได้รับการรายงานจาก Google Project Zero และทีมวิจัยจาก Coinbase โดย Mozilla แจ้งว่าพบการโจมตีด้วยช่องโหว่ดังกล่าวแล้ว

ช่องโหว่ CVE-2019-11707 เป็นช่องโหว่ประเภท type confusion เกิดขึ้นจาก Javascript บน Array.

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

Mozilla ได้ออกแพทช์ปรับปรุงเพื่อแก้ไขช่องโหว่ต่างๆใน Firefox และ Firefox ESR ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการควบคุมระบบจากระยะไกล

ช่องโหว่ใน Firefox 63 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 3 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 4 รายการ และช่องโหว่ความรุนแรงระดับต่ำ (Low) 5 รายการ

ช่องโหว่ใน Firefox ESR 60.3 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 2 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 3 รายการ และช่องโหว่ระดับความรุนแรงต่ำ (Low) 1 รายการ

แนะนำให้ผู้ดูแลระบบและผู้ใช้งาน Mozilla ทำการอัปเดตแพทช์สำหรับ Firefox 63 และ Firefox ESR 60.3 ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:mozilla

Mozilla ประกาศแพตช์ด้านความปลอดภัยให้กับ Firefox และ Firefox ESR ซึ่งจะป้องกันผู้ใช้งานจากการโจมตีช่องโหว่ที่มีความรุนแรงระดับสูง 1 รายการ

ช่องโหว่ดังกล่าวที่รหัส CVE-2018- 5148 เป็นช่องโหว่ use-after-free ในส่วนของโปรแกรมที่เรียกว่า compositor ค้นพบโดย Jesse Schwartzentruber เมื่อช่องโหว่ดังกล่าวถูกโจมตีนั้นจะส่งผลให้โปรแกรมค้างและปิดตัวเองลง
Recommendation แพตช์สำหรับช่องโหว่นี้นั้นได้ถูกปล่อยออกมาแล้ว โดยผู้ใช้งานสามารถอัปเกรด Mozilla Firefox ให้เป็นรุ่น 59.02 และรุ่น 52.7.3 สำหรับ Firefox ESR เพื่อรับแพตช์ได้ทันที

ที่มา: us-cert

Mozilla เปิดตัว Firefox 58.0.1 เพื่อแก้ไขปัญหาด้านความปลอดภัยที่ซ่อนอยู่ในโค้ดส่วน UI ของเบราเซอร์ และสามารถถูกใช้ในการโจมตี ผ่านการสั่งรันโค้ดที่เป็นอันตราย เพื่อวาง malware หรือควบคุมเครื่องของเหยื่อได้ โดยได้รับรหัสเป็น CVE-2018-5124 คะแนนความรุนแรง CVSS เท่ากับ 8.8

Johann Hofmann วิศวกรด้านความปลอดภัยของ Mozilla จากประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่ในครั้งนี้
จากการตรวจสอบพบว่าเป็นช่องโหว่ในส่วนขององค์ประกอบบน Firefox ที่เรียกว่า "Chrome" ยกตัวอย่างเช่น menu bars, progress bars , window title bars, toolbars หรือ UI elements อื่นที่มาจากการลง Add-on ช่องโหว่ดังกล่าวจัดเป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากโค้ดนี้สามารถถูกซ่อนอยู่ภายใน iframe, loaded off-screen และสามารถทำงานภายใต้สิทธิ์ของผู้ใช้งานขณะนั้นโดยที่ไม่รู้ตัว ด้วยเหตุนี้ช่องโหว่ดังกล่าวจึงได้รับคะแนนความรุนแรง CVSS เท่ากับ 8.8 จาก 10 คะแนน

ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบได้แก่ Firefox 56.x, 57.x. และ 58.0.0 ในส่วนของ Firefox บน Android และ Firefox 52 ESR ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้อัพเดทแพตช์ เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน Firefox 58

Mozilla ประกาศแพตช์ด่วนหลังจากมีการค้นพบช่องโหว่อันตรายบน Firefox 58 โดยแพตช์ดังกล่าวนั้นยังประกอบไปด้วยแพตช์สำหรับช่องโหว่อื่นๆ อีกกว่า 32 ช่องโหว่

สำหรับช่องโหว่ระดับ critical นั้น เป็นช่องโหว่รหัส CVE-2018-5091 ถูกค้นพบโดย Looben Yang โดยเป็นช่องโหว่แบบ use-after-free ที่เกือบขึ้นระหว่างการเชื่อมต่อผ่านโปรโตคอล WebRTC ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้

แนะนำให้ดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : mozilla

เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้

1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้

2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า

ที่มา : scmagazine