Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

Mozilla ออกแพตช์เพื่อแก้ไขช่องโหว่ที่กำลังถูกโจมตี

Mozilla เปิดตัว Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่อแก้ไขช่องโหว่ในระดับความรุนแรง cirtical และอาจทำให้ผู้โจมตีสามารถสั่งรันโปรแกรมจากระยะไกลบนเครื่องที่ใช้ Firefox เวอร์ชั่นที่มีช่องโหว่ได้
Firefox และ Firefox ESR แก้ไข โดย Mozilla ซึ่งช่องโหว่ดังกล่าวได้รับการรายงานจาก Google Project Zero และทีมวิจัยจาก Coinbase โดย Mozilla แจ้งว่าพบการโจมตีด้วยช่องโหว่ดังกล่าวแล้ว

ช่องโหว่ CVE-2019-11707 เป็นช่องโหว่ประเภท type confusion เกิดขึ้นจาก Javascript บน Array.

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

Mozilla ได้ออกแพทช์ปรับปรุงเพื่อแก้ไขช่องโหว่ต่างๆใน Firefox และ Firefox ESR ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการควบคุมระบบจากระยะไกล

ช่องโหว่ใน Firefox 63 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 3 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 4 รายการ และช่องโหว่ความรุนแรงระดับต่ำ (Low) 5 รายการ

ช่องโหว่ใน Firefox ESR 60.3 เป็นช่องโหว่ความรุนแรงระดับสูงมาก (critical) 2 รายการ, ช่องโหว่ความรุนแรงระดับสูง (High) 3 รายการ, ช่องโหว่ความรุนแรงระดับกลาง (Moderate) 3 รายการ และช่องโหว่ระดับความรุนแรงต่ำ (Low) 1 รายการ

แนะนำให้ผู้ดูแลระบบและผู้ใช้งาน Mozilla ทำการอัปเดตแพทช์สำหรับ Firefox 63 และ Firefox ESR 60.3 ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:mozilla

Mozilla ประกาศแพตช์ด้านความปลอดภัยให้กับ Firefox และ Firefox ESR ซึ่งจะป้องกันผู้ใช้งานจากการโจมตีช่องโหว่ที่มีความรุนแรงระดับสูง 1 รายการ

ช่องโหว่ดังกล่าวที่รหัส CVE-2018- 5148 เป็นช่องโหว่ use-after-free ในส่วนของโปรแกรมที่เรียกว่า compositor ค้นพบโดย Jesse Schwartzentruber เมื่อช่องโหว่ดังกล่าวถูกโจมตีนั้นจะส่งผลให้โปรแกรมค้างและปิดตัวเองลง
Recommendation แพตช์สำหรับช่องโหว่นี้นั้นได้ถูกปล่อยออกมาแล้ว โดยผู้ใช้งานสามารถอัปเกรด Mozilla Firefox ให้เป็นรุ่น 59.02 และรุ่น 52.7.3 สำหรับ Firefox ESR เพื่อรับแพตช์ได้ทันที

ที่มา: us-cert

Mozilla เปิดตัว Firefox 58.0.1 เพื่อแก้ไขปัญหาด้านความปลอดภัยที่ซ่อนอยู่ในโค้ดส่วน UI ของเบราเซอร์ และสามารถถูกใช้ในการโจมตี ผ่านการสั่งรันโค้ดที่เป็นอันตราย เพื่อวาง malware หรือควบคุมเครื่องของเหยื่อได้ โดยได้รับรหัสเป็น CVE-2018-5124 คะแนนความรุนแรง CVSS เท่ากับ 8.8

Johann Hofmann วิศวกรด้านความปลอดภัยของ Mozilla จากประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่ในครั้งนี้
จากการตรวจสอบพบว่าเป็นช่องโหว่ในส่วนขององค์ประกอบบน Firefox ที่เรียกว่า "Chrome" ยกตัวอย่างเช่น menu bars, progress bars , window title bars, toolbars หรือ UI elements อื่นที่มาจากการลง Add-on ช่องโหว่ดังกล่าวจัดเป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากโค้ดนี้สามารถถูกซ่อนอยู่ภายใน iframe, loaded off-screen และสามารถทำงานภายใต้สิทธิ์ของผู้ใช้งานขณะนั้นโดยที่ไม่รู้ตัว ด้วยเหตุนี้ช่องโหว่ดังกล่าวจึงได้รับคะแนนความรุนแรง CVSS เท่ากับ 8.8 จาก 10 คะแนน

ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบได้แก่ Firefox 56.x, 57.x. และ 58.0.0 ในส่วนของ Firefox บน Android และ Firefox 52 ESR ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้อัพเดทแพตช์ เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน Firefox 58

Mozilla ประกาศแพตช์ด่วนหลังจากมีการค้นพบช่องโหว่อันตรายบน Firefox 58 โดยแพตช์ดังกล่าวนั้นยังประกอบไปด้วยแพตช์สำหรับช่องโหว่อื่นๆ อีกกว่า 32 ช่องโหว่

สำหรับช่องโหว่ระดับ critical นั้น เป็นช่องโหว่รหัส CVE-2018-5091 ถูกค้นพบโดย Looben Yang โดยเป็นช่องโหว่แบบ use-after-free ที่เกือบขึ้นระหว่างการเชื่อมต่อผ่านโปรโตคอล WebRTC ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้

แนะนำให้ดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : mozilla

เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้

1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้

2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า

ที่มา : scmagazine

นักวิจัยจาก Proofpoint ค้นพบแคมเปญล่าสุดของ KovCoreG ที่มีเป้าหมายเป็น Pornhub ส่งผลให้ผู้ใช้อินเทอร์เน็ตในสหรัฐอเมริกา, แคนาดา, สหราชอาณาจักร และออสเตรเลีย หลายล้านคนติดมัลแวร์

กลุ่มแฮ็คเกอร์ KovCoreG เป็นที่รู้จักกันดีสำหรับการแพร่กระจายมัลแวร์ Kovter ในปี 2015 และล่าสุดในปี 2017 กลุ่มแฮ็คเกอร์ของ KovCoreG ใช้ประโยชน์จากเครือข่ายโฆษณาบน PornHub หนึ่งในเว็บไซต์สำหรับผู้ใหญ่ที่มีผู้เยี่ยมชมมากที่สุดในโลกเพื่อเผยแพร่การอัปเดตเบราว์เซอร์ปลอม ได้แก่ Chrome, Firefox และให้อัปเดตแฟลชสำหรับ Microsoft Edge / Internet Explorer ซึ่งหากผู้ใช้กดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript ที่ทำการติดตั้งมัลแวร์ Kovter

หลังจากได้รับแจ้ง ทาง PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์ดังกล่าวแล้ว

ที่มา : threatpost

เมื่อปีที่ผ่านมาทาง Firefox ได้ประกาศจะหยุดซัพพอร์ทบนแพลตเฟอร์ม Windows XP และ Vista โดยผู้ใช้งานที่มียังมีการใช้งานอยู่ในปัจจุบันจะถูกย้ายโดยอัตโนมัติจากรุ่นปกติมาเป็นรุ่นซัพพอร์ทระยะยาว Firefox Extended Support Release (ESR) เพื่อให้มั่นใจว่าผู้ใช้จะได้รับการอัพเดทจนถึงเดือนกันยายน 2017 เป็นอย่างน้อย

ปัจจุบันทาง Mozilla ได้ประกาศอีกรอบว่า Firefox บน Windows XP และ Vista จะได้รับการอัพเดทด้านความปลอดภัยจนถึงเดือนมิถุนายน 2561 เป็นครั้งสุดท้าย

ทั้งนี้ทาง Mozilla แนะนำให้ผู้ใช้งาน Firefox บน Windows XP และ Vista ควรอัพเกรดเวอร์ชั่นไปใช้งาน Windows ที่ทาง Microsoft ยังซัพพอร์ทอยู่ เนื่องจากระบบปฏิบัติการที่ไม่อยู่ในระยะซัพพอร์ทจะไม่ได้รับการอัพเดทด้านความปลอดภัยซึ่งอาจส่งผลต่อความปลอดภัยในการใช้งาน

ที่มา : SECURITYWEEK