Mozilla เปิดตัว Firefox 58.0.1 เพื่อแก้ไขปัญหาด้านความปลอดภัยที่ซ่อนอยู่ในโค้ดส่วน UI ของเบราเซอร์ และสามารถถูกใช้ในการโจมตี ผ่านการสั่งรันโค้ดที่เป็นอันตราย เพื่อวาง malware หรือควบคุมเครื่องของเหยื่อได้ โดยได้รับรหัสเป็น CVE-2018-5124 คะแนนความรุนแรง CVSS เท่ากับ 8.8

Johann Hofmann วิศวกรด้านความปลอดภัยของ Mozilla จากประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่ในครั้งนี้
จากการตรวจสอบพบว่าเป็นช่องโหว่ในส่วนขององค์ประกอบบน Firefox ที่เรียกว่า "Chrome" ยกตัวอย่างเช่น menu bars, progress bars , window title bars, toolbars หรือ UI elements อื่นที่มาจากการลง Add-on ช่องโหว่ดังกล่าวจัดเป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากโค้ดนี้สามารถถูกซ่อนอยู่ภายใน iframe, loaded off-screen และสามารถทำงานภายใต้สิทธิ์ของผู้ใช้งานขณะนั้นโดยที่ไม่รู้ตัว ด้วยเหตุนี้ช่องโหว่ดังกล่าวจึงได้รับคะแนนความรุนแรง CVSS เท่ากับ 8.8 จาก 10 คะแนน

ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบได้แก่ Firefox 56.x, 57.x. และ 58.0.0 ในส่วนของ Firefox บน Android และ Firefox 52 ESR ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้อัพเดทแพตช์ เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน Firefox 58

Mozilla ประกาศแพตช์ด่วนหลังจากมีการค้นพบช่องโหว่อันตรายบน Firefox 58 โดยแพตช์ดังกล่าวนั้นยังประกอบไปด้วยแพตช์สำหรับช่องโหว่อื่นๆ อีกกว่า 32 ช่องโหว่

สำหรับช่องโหว่ระดับ critical นั้น เป็นช่องโหว่รหัส CVE-2018-5091 ถูกค้นพบโดย Looben Yang โดยเป็นช่องโหว่แบบ use-after-free ที่เกือบขึ้นระหว่างการเชื่อมต่อผ่านโปรโตคอล WebRTC ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้

แนะนำให้ดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : mozilla

เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้

1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้

2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า

ที่มา : scmagazine

นักวิจัยจาก Proofpoint ค้นพบแคมเปญล่าสุดของ KovCoreG ที่มีเป้าหมายเป็น Pornhub ส่งผลให้ผู้ใช้อินเทอร์เน็ตในสหรัฐอเมริกา, แคนาดา, สหราชอาณาจักร และออสเตรเลีย หลายล้านคนติดมัลแวร์

กลุ่มแฮ็คเกอร์ KovCoreG เป็นที่รู้จักกันดีสำหรับการแพร่กระจายมัลแวร์ Kovter ในปี 2015 และล่าสุดในปี 2017 กลุ่มแฮ็คเกอร์ของ KovCoreG ใช้ประโยชน์จากเครือข่ายโฆษณาบน PornHub หนึ่งในเว็บไซต์สำหรับผู้ใหญ่ที่มีผู้เยี่ยมชมมากที่สุดในโลกเพื่อเผยแพร่การอัปเดตเบราว์เซอร์ปลอม ได้แก่ Chrome, Firefox และให้อัปเดตแฟลชสำหรับ Microsoft Edge / Internet Explorer ซึ่งหากผู้ใช้กดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript ที่ทำการติดตั้งมัลแวร์ Kovter

หลังจากได้รับแจ้ง ทาง PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์ดังกล่าวแล้ว

ที่มา : threatpost

เมื่อปีที่ผ่านมาทาง Firefox ได้ประกาศจะหยุดซัพพอร์ทบนแพลตเฟอร์ม Windows XP และ Vista โดยผู้ใช้งานที่มียังมีการใช้งานอยู่ในปัจจุบันจะถูกย้ายโดยอัตโนมัติจากรุ่นปกติมาเป็นรุ่นซัพพอร์ทระยะยาว Firefox Extended Support Release (ESR) เพื่อให้มั่นใจว่าผู้ใช้จะได้รับการอัพเดทจนถึงเดือนกันยายน 2017 เป็นอย่างน้อย

ปัจจุบันทาง Mozilla ได้ประกาศอีกรอบว่า Firefox บน Windows XP และ Vista จะได้รับการอัพเดทด้านความปลอดภัยจนถึงเดือนมิถุนายน 2561 เป็นครั้งสุดท้าย

ทั้งนี้ทาง Mozilla แนะนำให้ผู้ใช้งาน Firefox บน Windows XP และ Vista ควรอัพเกรดเวอร์ชั่นไปใช้งาน Windows ที่ทาง Microsoft ยังซัพพอร์ทอยู่ เนื่องจากระบบปฏิบัติการที่ไม่อยู่ในระยะซัพพอร์ทจะไม่ได้รับการอัพเดทด้านความปลอดภัยซึ่งอาจส่งผลต่อความปลอดภัยในการใช้งาน

ที่มา : SECURITYWEEK

เมื่อวันที่ 1 สิงหาคม 2560 ที่ผ่านทาง Firefox ได้ทำการทดสอบคุณสมบัติใหม่ของบราวเซอร์ โดยมีจุดประสงค์เพื่อให้ผู้ใช้งาน สามารถใช้งานได้ง่าย รวดเร็ว และมีความปลอดภัยเพิ่มมากขึ้น โดยมีคุณสมบัติใหม่ดังต่อไปนี้

1. Send : ไฟล์ที่ถูกส่งผ่านอินเตอร์เน็ตจะถูกทำลายโดยอัตโนมัติหลังจากดาวน์โหลดหนึ่งครั้งหรือภายใน 24 ชั่วโมง ดังนั้นจึงไม่สามารถเข้าถึงได้โดยบุคคลอื่นนอกเหนือจากผู้รับ ทั้งนี้ไฟล์จะถูกเข้ารหัสทั้งระหว่างการส่งและฝั่งไคลเอ็นต์ การที่สามารถจัดการไฟล์ได้ถึง 1GB ส่งผลให้เป็นตัวเลือกที่ดีกว่า Gmail ที่จำกัดขนาดไฟล์ไว้เพียง 25MB
2. Voice Fill: เป็นฟังก์ชันการพูดเป็นข้อความ (STT) หรือ การพิมพ์ด้วยเสียง ใน Firefox จะช่วยให้ผู้ใช้สามารถป้อนข้อความลงในเบราว์เซอร์ด้วยเสียง
3. Notes : สามารถสร้างโน๊ตเพื่อทำการบันทึกไว้ในบราวเซอร์ ทำให้สามารถซิงค์โน๊ตได้ทุกที่ผ่าน Account ของ Firefox

ที่มา : techrepublic

Mozilla ผู้ดูแลเบราว์เซอร์ Firefox รายงานว่าเมื่อเดือนที่แล้ว เว็บ Bugzilla เว็บไซต์สำหรับติดตามบั๊กของโครงการถูกขโมยเอาข้อมูลออกไป ด้วยการแฮกบัญชีผู้ใช้เข้ามาอ่านข้อมูล ทำให้แฮกเกอร์เห็นช่องโหว่ที่อยู่ระหว่างการพัฒนาแพตช์ และนำช่องโหว่นั้นออกไปโจมตีผู้ใช้งาน Firefox บัญชีที่ถูกแฮกไปตอนนี้ถูกระงับไปแล้ว ข้อมูลช่องโหว่ที่หลุดออกไปและมีการโจมตีทำให้ทาง Mozilla ต้องออกรุ่นพิเศษเพื่ออุดช่องโหว่เร่งด่วนเมื่อเดือนที่แล้ว แต่คาดว่าแฮกเกอร์ไม่ได้ข้อมูลอื่นๆ ไปอีก

เบื้องต้นนักพัฒนาที่สามารถเข้าถึงช่องโหว่ที่กำลังแก้ไขได้จะต้องเปลี่ยนรหัสผ่าน และเปิดใช้งานการยืนยันตัวตนสองขั้นตอน และนโยบายใหม่จะจำกัดนักพัฒนาที่เข้าถึงช่องโหว่เหล่านี้ให้น้อยลง พร้อมๆ กับการแก้ไขปัญหา ทาง Mozilla ก็ประสานงานกับเจ้าหน้าที่เพื่อดำเนินการตามกฎหมายต่อไป

ที่มา : mozilla

Mozilla ออกประกาศเตือนช่องโหว่ระดับ critical ค้นพบใหม่ใน Firefox เกี่ยวกับตัวอ่าน PDF ที่มาพร้อมกับเบราว์เซอร์ ช่องโหว่นี้เปิดให้ผู้ประสงค์ร้ายเข้ามาขโมยข้อมูลในเครื่องของผู้ใช้ได้

สิ่งที่น่ากลัว คือ พบการโจมตีผ่านช่องโหว่นี้ในรัสเซียแล้ว โดยแฮกเกอร์ใช้วิธียิงโฆษณาบนเว็บไซต์ข่าวแห่งหนึ่ง เพื่อขโมยข้อมูลของผู้ที่เข้าชมเว็บไซต์ข่าวแห่งนี้ด้วย Firefox ตัวอย่างข้อมูลที่ถูกขโมยคือไฟล์คอนฟิกต่างๆ ที่อาจมีรหัสผ่านเก็บอยู่ เช่น /etc/passwd, .ssh, .mysql_history รวมถึงไฟล์คอนฟิกของ Filezilla หรือ subversion

Mozilla ออกแพตช์แก้มาเป็น Firefox 39.0.3 และ Firefox ESR 38.1.1 ให้อัพเดตแล้ว

ที่มา : mozilla