พบช่องโหว่ Zero-Day ใหม่ระดับ ‘Critical’ ผู้ใช้ Firefox รีบแพตช์ด่วน

บริษัท Mozilla ได้เปิดตัวให้อัพเดตแพตช์ความปลอดภัยสำหรับ Firefox และ Firefox ESR เมื่อวันศุกร์ที่ผ่านมาโดยทำการแก้ไขช่องโหว่ Zero-Day ช่องโหว่ดังกล่าวจะอนุญาตให้ผู้โจมตีจากระยะไกลสามารถสั่งรันโค้ดที่เป็นอันตรายโจมตีเครื่องที่ใช้ Firefox เวอร์ชั่นก่อนหน้า 74.0.1 และ Firefox Extended Support Release 68.6.1 ช่องโหว่รายงานโดยนักวิจัยด้านความปลอดภัย Francisco Alonso และ Javier Marcos ของ JMP Security

รายละเอียดช่องโหว่

CVE-2020-6819: เป็นช่องโหว่ use-after-free ที่เกิดจาก browser component ที่ชื่อ “nsDocShell destructor” โดย nsDocShell เป็น client ที่อยู่ใน nsI-HttpChannel API ที่เป็นฟังก์ชันของเบราว์เซอร์เพื่ออ่าน HTTP headers
CVE-2020-6820: เป็นช่องโหว่ use-after-free ในการจัดการ ReadableStream ที่เชื่อมต่อกับ Streams API

บริษัท Mozilla ได้แนะนำผู้ใช้ Firefox เวอร์ชั่น ก่อนหน้า 74.0.1 และ Firefox ESR เวอร์ชั่น 68.6.1ให้รีบอัพเดตแพตช์โดยด่วน

ที่มา: threatpost