แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน Firefox 58
Mozilla ประกาศแพตช์ด่วนหลังจากมีการค้นพบช่องโหว่อันตรายบน Firefox 58 โดยแพตช์ดังกล่าวนั้นยังประกอบไปด้วยแพตช์สำหรับช่องโหว่อื่นๆ อีกกว่า 32 ช่องโหว่
สำหรับช่องโหว่ระดับ critical นั้น เป็นช่องโหว่รหัส CVE-2018-5091 ถูกค้นพบโดย Looben Yang โดยเป็นช่องโหว่แบบ use-after-free ที่เกือบขึ้นระหว่างการเชื่อมต่อผ่านโปรโตคอล WebRTC ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้
แนะนำให้ดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยด่วน
ที่มา : mozilla
เมื่อวันที่ 29 พฤศจิกายน 2017 ที่ผ่านมาทาง Mozilla ได้อัพเดทการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญสำหรับ Firefox 57 จำนวน 2 ช่องโหว่ มีรายละเอียดดังนี้
1. ช่องโหว่ CVE-2017-7843 : เมื่อมีการเปิดใช้งานโหมด Private Browsing ส่งผลให้ web worker ซึ่งเป็น API ของ Firefox สามารถเขียนข้อมูลใน IndexedDB ได้
2. ช่องโหว่ CVE-2017-7844 : ทำให้ Website ที่เป็นอันตราย สามารถดึงข้อมูลประวัติการเยี่ยมชมเว็บเพจต่างๆ ของผู้ใช้งาน จากสีของ anchor links ซึ่งถูกเก็บเป็นข้อมูลอยู่ใน SVG image ที่ถูกอ้างอิงมาจากแหล่งอื่นๆนอก Page ทั้งนี้ช่องโหว่นี้มีผลกับ Firefox 57 เท่านั้น และไม่ส่งผลกับ version ที่เก่ากว่า
ที่มา : scmagazine
Mozilla ผู้ดูแลเบราว์เซอร์ Firefox รายงานว่าเมื่อเดือนที่แล้ว เว็บ Bugzilla เว็บไซต์สำหรับติดตามบั๊กของโครงการถูกขโมยเอาข้อมูลออกไป ด้วยการแฮกบัญชีผู้ใช้เข้ามาอ่านข้อมูล ทำให้แฮกเกอร์เห็นช่องโหว่ที่อยู่ระหว่างการพัฒนาแพตช์ และนำช่องโหว่นั้นออกไปโจมตีผู้ใช้งาน Firefox บัญชีที่ถูกแฮกไปตอนนี้ถูกระงับไปแล้ว ข้อมูลช่องโหว่ที่หลุดออกไปและมีการโจมตีทำให้ทาง Mozilla ต้องออกรุ่นพิเศษเพื่ออุดช่องโหว่เร่งด่วนเมื่อเดือนที่แล้ว แต่คาดว่าแฮกเกอร์ไม่ได้ข้อมูลอื่นๆ ไปอีก
เบื้องต้นนักพัฒนาที่สามารถเข้าถึงช่องโหว่ที่กำลังแก้ไขได้จะต้องเปลี่ยนรหัสผ่าน และเปิดใช้งานการยืนยันตัวตนสองขั้นตอน และนโยบายใหม่จะจำกัดนักพัฒนาที่เข้าถึงช่องโหว่เหล่านี้ให้น้อยลง พร้อมๆ กับการแก้ไขปัญหา ทาง Mozilla ก็ประสานงานกับเจ้าหน้าที่เพื่อดำเนินการตามกฎหมายต่อไป
ที่มา : mozilla
Mozilla ออกประกาศเตือนช่องโหว่ระดับ critical ค้นพบใหม่ใน Firefox เกี่ยวกับตัวอ่าน PDF ที่มาพร้อมกับเบราว์เซอร์ ช่องโหว่นี้เปิดให้ผู้ประสงค์ร้ายเข้ามาขโมยข้อมูลในเครื่องของผู้ใช้ได้
สิ่งที่น่ากลัว คือ พบการโจมตีผ่านช่องโหว่นี้ในรัสเซียแล้ว โดยแฮกเกอร์ใช้วิธียิงโฆษณาบนเว็บไซต์ข่าวแห่งหนึ่ง เพื่อขโมยข้อมูลของผู้ที่เข้าชมเว็บไซต์ข่าวแห่งนี้ด้วย Firefox ตัวอย่างข้อมูลที่ถูกขโมยคือไฟล์คอนฟิกต่างๆ ที่อาจมีรหัสผ่านเก็บอยู่ เช่น /etc/passwd, .ssh, .mysql_history รวมถึงไฟล์คอนฟิกของ Filezilla หรือ subversion
Mozilla ออกแพตช์แก้มาเป็น Firefox 39.0.3 และ Firefox ESR 38.1.1 ให้อัพเดตแล้ว
ที่มา : mozilla
พบช่องโหว่ที่สำคัญในโปรแกรม Bugzilla ซึ่งเป็น plugin ของ Mozilla ถูกพัฒนาขึ้นโดยบริษัท Mozilla ที่เอาไว้ค้นหาบั๊ก ส่วนใหญ่นิยมใช้งานในบริษัทใหญ่ๆ เช่น RedHat, Linux Kernel, Gnome, Apache
เมื่อวันศุกร์ (1 ส.ค. 2557) บริษัท Mozilla ได้แจ้งไปยัง Mozilla Developer Network (MDN) ว่าทางบริษัทได้มีการเปิดเผยข้อมูลที่อยู่อีเมล์และรหัสผ่านของนักพัฒนานับ 1,000 ราย และคาดว่าที่อยู่อีเมล์กว่า 76,000 อีเมล์ และรหัสผ่านของนักพัฒนานั้นอาจเกิดจากการโจมตีฐานข้อมูลโดยแฮกเกอร์
Mozilla กล่าวว่า รหัสผ่านที่แฮกเกอร์ขโมยมานั้นไม่สามารถใช้ในการ Login บัญชีของนักพัฒนาได้ แต่อาจสามารถเข้าถึงบัญชีของผู้ใช้อื่นๆ ได้ ซึ่งทางบริษัทได้ออกมาขอโทษ พร้อมหาแนวทางแก้ไขปัญหาทั้งในระยะสั้นและระยะยาว และได้แจ้งเตือนไปยังผู้ใช้ที่ได้รับผลกระทบให้เปลี่ยนรหัสผ่านเพื่อความปลอดภัย
ที่มา : thehackernews