Mozilla ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Vancouver 2022

หากถูกโจมตีด้วยช่องโหว่ระดับ Critical 2 ช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์มือถือ และ Desktop ที่ใช้ Firefox, Firefox ESR, Firefox สำหรับ Android และ Thunderbird ในเวอร์ชันที่มีช่องโหว่

ช่องโหว่ Zero-day ได้รับการแก้ไขแล้วใน Firefox 100.0.2, Firefox ESR 91.9.1, Firefox สำหรับ Android 100.3 และ Thunderbird 91.9.1

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการแจ้งให้ผู้ดูแลระบบ และผู้ใช้งาน แก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบ

โดยทาง Mozilla ได้ใช้เวลาในการแก้ไขช่องโหว่เหล่านี้ 2 วัน หลังจากที่ถูกโจมตีในงานการแข่งขันการแฮ็ก Pwn2Own โดย Manfred Paul ซึ่งโดยปกติ Vendor ต่าง ๆ จะไม่รีบปล่อยแพตช์ของช่องโหว่ที่ถูกใช้หลังจากงาน Pwn2Own เนื่องจากพวกเขามีเวลาราวๆ 90 วันในการแก้ไขช่องโหว่ด้านความปลอดภัย จนกว่าที่จะมีการเปิดเผยรายละเอียดของวิธีการโจมตีต่อสาธารณะ

งาน Pwn2Own 2022 Vancouver ได้สิ้นสุดลงเมื่อวันที่ 20 พฤษภาคมหลังจากที่ผู้เข้าแข่งขัน 17 ราย ได้รับเงินรางวัลรวมทั้งหมด $1,155,000 สำหรับการหาช่องโหว่แบบ Zero-day เป็นระยะเวลา 3 วัน หลังจากมีการพยายามทดสอบการโจมตีไปทั้งสิ้น 21 ครั้ง

ที่มา: bleepingcomputer

Mozilla ได้ประกาศอย่างเป็นทางการแล้วว่าตั้งแต่วันที่ 1 กันยายน 2020 และ Mozilla จะไม่พิจารณา certificate ที่ออกใหม่และมีอายุมากว่า 398 วันหรือมากกว่าหนึ่งปีขึ้นไป

Mozilla กล่าวว่านักพัฒนาเบราว์เซอร์และผู้เชี่ยวชาญด้านความปลอดภัยได้พยายามผลักดันเพื่อลดอายุการใช้งานสูงสุดของ TLS certificate จาก 825 วันเป็น 398 วันโดยมีจุดประสงค์ในการปกป้องการเชื่อมต่อ HTTPS ของผู้ใช้ด้วยเหตุผลหลายประการ โดยมีเหตุผลหลักๆ ดังนี้

ให้ความคล่องตัวมากขึ้นเมื่อทำการยกเลิก certificate ในกรณีเมื่อค้นพบช่องใหว่ใหม่ในอัลกอริธึมการเข้ารหัส
สามารถจำกัดความเสี่ยงในกรณีที่เกิดการรั่วไหลหรือการขโมย private key และ TLS certificate โดยผู้ประสงค์ร้ายจะสามารถใช้ certificate ที่ถูกขโมยไปได้เเค่ 1 ปี
ป้องกันผู้ให้บริการโฮสต์จากการใช้ certificate เป็นเวลานานหลังจากที่โดเมนไม่ได้ใช้งานอีกต่อไปหรือเปลี่ยนผู้ให้บริการ

Mozilla ยังกล่าวถึงข้อเสียของการลดวันหมดอายุ TLS certificate ลงเหลือครั้งละ 1 ปีในประเด็นซึ่งเกี่ยวข้องกับผู้ดูแลเว็บไซต์ บริษัทที่มีการให้บริการเว็บไซต์หลายแห่งจะมีค่าใช้จ่ายมากขึ้นเนื่องจากค่าใช้จ่ายในการต่ออายุ TLS certificate จะหมดอายุบ่อยขึ้น สำหรับผู้ที่มี TLS certificate มากกว่า 2 ปีและทำการขอ TLS certificate ก่อนวันที่ 1 กันยายน 2020 จะไม่ได้รับผลกระทบและจะสามารถใช้งานได้จนกว่าจะหมดอายุการใช้งาน

ที่มา:

bleepingcomputer.

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

 

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

พบช่องโหว่การเรียกรันคำสั่งระยะไกล (RCE) ที่มีอายุถึง 7 ปีถูกค้นพบใน iTerm2 ของ macOS - หนึ่งในโอเพนซอร์ซที่ได้รับความนิยมมากที่สุดสำหรับแอพเทอร์มินัลในตัวของ Mac

ช่องโหว่ได้รับ CVE-2019-9535 ถูกค้นพบโดยนักตรวจสอบความปลอดภัยอิสระซึ่งได้รับทุนจากโปรแกรม Mozilla Open Source Support (MOSS) และบริษัท Radically Open Security (ROS) จากการเปิดเผยในวันนี้โดย Mozilla ระบุว่าช่องโหว่ RCE อยู่ในส่วน tmux ของ iTerm2 ซึ่งหากถูกโจมตีจะทำให้สามารถรันคำสั่งที่ต้องการได้ จากวิดีโอที่เผยแพร่ออกมาแสดงให้เห็นว่าการโจมตีสามารถทำงานได้ผ่าน Command-line ของระบบปฏิบัติการได้ ซึ่งต่างจากการโจมตีโดยทั่วไปที่มักต้องมีการโต้ตอบจากผู้ใช้งานด้วย ช่องโหว่ดังกล่าวจึงค่อนข้างน่ากังวล ผู้สนใจสามารถศึกษาได้จากวิดีโอในลิงก์ที่มาได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ iTerm2 เวอร์ชั่น 3.3.5 และก่อนหน้า อย่างไรก็ตามช่องโหว่เพิ่งได้รับการแก้ไขด้วยการเปิดตัว iTerm2 3.3.6

ที่มา: thehackernews

Mozilla ออกแพตช์เพื่อแก้ไขช่องโหว่ที่กำลังถูกโจมตี

Mozilla เปิดตัว Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่อแก้ไขช่องโหว่ในระดับความรุนแรง cirtical และอาจทำให้ผู้โจมตีสามารถสั่งรันโปรแกรมจากระยะไกลบนเครื่องที่ใช้ Firefox เวอร์ชั่นที่มีช่องโหว่ได้
Firefox และ Firefox ESR แก้ไข โดย Mozilla ซึ่งช่องโหว่ดังกล่าวได้รับการรายงานจาก Google Project Zero และทีมวิจัยจาก Coinbase โดย Mozilla แจ้งว่าพบการโจมตีด้วยช่องโหว่ดังกล่าวแล้ว

ช่องโหว่ CVE-2019-11707 เป็นช่องโหว่ประเภท type confusion เกิดขึ้นจาก Javascript บน Array.

Mozilla เผยแพร่แพตช์สำหรับช่องโหว่ร้ายแรงบนโปรแกรม Thunderbird ล่าสุดซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่บางรายการเพื่อควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้ อย่างไรก็ตามช่องโหว่นี้ไม่สามารถงานได้ผ่านทางอีเมลใน Thunderbird เนื่องจากสคริปต์จะไม่สามารถทำงานได้ถ้าเปิดอ่านอีเมล ทำให้สามารถลดความเสี่ยงที่จะถูกโจมตีได้

หนึ่งในช่องโหว่ระดับวิกฤติที่ถูกเผยแพร่ออกมานั้นคือช่องโหว่รหัส CVE-2018-12359 ซึ่งเป็นช่องโหว่ buffer overflow ที่จะเกิดขึ้นเมื่อมีการแสดงเนื้อหา Canvas ขณะปรับความสูงและความกว้างของ แบบไดนามิก ทำให้เกิดความผิดพลาดของข้อมูลซึ่งถูกเขียนขึ้นนอกขอบเขตที่คำนวณ และส่งผลให้ผู้โจมตีสามารถเขียนทับหน่วยความจำเพื่อควบคุมกระบวนการทำงานของโปรแกรมได้

NCCIC แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบและอัปเดต โปรแกรม Thunderbird ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อป้องกันการถูกโจมตีผ่านทางช่องโหว่นี้

ที่มา:us-cert

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน Firefox 58

Mozilla ประกาศแพตช์ด่วนหลังจากมีการค้นพบช่องโหว่อันตรายบน Firefox 58 โดยแพตช์ดังกล่าวนั้นยังประกอบไปด้วยแพตช์สำหรับช่องโหว่อื่นๆ อีกกว่า 32 ช่องโหว่

สำหรับช่องโหว่ระดับ critical นั้น เป็นช่องโหว่รหัส CVE-2018-5091 ถูกค้นพบโดย Looben Yang โดยเป็นช่องโหว่แบบ use-after-free ที่เกือบขึ้นระหว่างการเชื่อมต่อผ่านโปรโตคอล WebRTC ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้

แนะนำให้ดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : mozilla

เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้

1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้

2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า

ที่มา : scmagazine

Mozilla ผู้ดูแลเบราว์เซอร์ Firefox รายงานว่าเมื่อเดือนที่แล้ว เว็บ Bugzilla เว็บไซต์สำหรับติดตามบั๊กของโครงการถูกขโมยเอาข้อมูลออกไป ด้วยการแฮกบัญชีผู้ใช้เข้ามาอ่านข้อมูล ทำให้แฮกเกอร์เห็นช่องโหว่ที่อยู่ระหว่างการพัฒนาแพตช์ และนำช่องโหว่นั้นออกไปโจมตีผู้ใช้งาน Firefox บัญชีที่ถูกแฮกไปตอนนี้ถูกระงับไปแล้ว ข้อมูลช่องโหว่ที่หลุดออกไปและมีการโจมตีทำให้ทาง Mozilla ต้องออกรุ่นพิเศษเพื่ออุดช่องโหว่เร่งด่วนเมื่อเดือนที่แล้ว แต่คาดว่าแฮกเกอร์ไม่ได้ข้อมูลอื่นๆ ไปอีก

เบื้องต้นนักพัฒนาที่สามารถเข้าถึงช่องโหว่ที่กำลังแก้ไขได้จะต้องเปลี่ยนรหัสผ่าน และเปิดใช้งานการยืนยันตัวตนสองขั้นตอน และนโยบายใหม่จะจำกัดนักพัฒนาที่เข้าถึงช่องโหว่เหล่านี้ให้น้อยลง พร้อมๆ กับการแก้ไขปัญหา ทาง Mozilla ก็ประสานงานกับเจ้าหน้าที่เพื่อดำเนินการตามกฎหมายต่อไป

ที่มา : mozilla