ช็อค!!!พบช่องโหว่ใหม่ใน Firefox 3.5.1

ช็อค!!!พบช่องโหว่ใหม่ใน Firefox 3.5.1
S! Hitech

สนับสนุนเนื้อหา

เมื่อวันศุกร์ที่ผ่านมา Mozilla ได้ออก Firefox 3.5.1 เวอร์ชันอัพเดตที่ได้รับการแก้ไขช่องโหว่ตัวคอมไพล์ JIT ของจาวาสคริทป์ ล่าสุดมีรายงานข่าวยืนยันว่า พบช่องโหว่ใหม่ที่มีการจัดทำโค้ดอันตรายออกมาแล้ว โดยจะส่งผลกระทบกับ Firefox 3.5.1และเวอร์ชันอื่นๆ ที่อาจะโดนเล่นงานผ่านช่องโหว่ดังกล่าว รายงานพบช่องโหว่นี้มาจาก SANS Internet Storm Center ตามด้วย IBM ISS X-Force alert ที่ยืนยันว่า ช่องโหว่ดังกล่าวเป็นเรื่องจริง และมันสามารถใช้ได้กับ Firefox 3.5.1 เวอร์ชันอัพเดตล่าสุดด้วย สำหรับรายละเอียดของช่องโหว่ที่พบจะเป็นส่วนการทำงานที่สามารถเกิดบัฟเฟอร์โอเว่อร์โฟลว (การใช้หน่วยความจำมากกว่าที่โปรแกรมจองไว้) จากส่วนจัดการหน่วยความจำแบบสแต็คผ่านทางเน็ต ซึ่งทำให้เกิดขึ้นได้โดยส่งข้อความยาวๆ ที่เป็นข้อมูลยูนิโค้ดเข้าไปใน document.write.method ผลลัพธ์จากการทำให้เกิดโอเว่อร์โฟลวจะนำไปสู่การสั่งรันโค้ดอันตรายบนระบบของเหยื่อได้ หรือหากไม่สามารถทำให้เกิดเหตุการณ์ข้างต้นได้ มันก็สามารถนำไปใช้โจมตีในรูปแบบ DoS ช่องโหว่ดังกล่าวได้มีการทำโค้ดพิสูจน์ทราบตามคอนเซปต์แล้ว โดยสามารถดูโค้ดได้ที่นี่ Firefox Update: ล่าสุดทาง Mozilla ได้ออกมาตอบโต้รายงานของ SANS และ IBM แล้วว่า "ไม่ถูกต้อง" โดยผลจากการทดสอบภายในของบริษัท ช่องโหว่ดังกล่าวไม่สามารถนำไปใช้ได้จริง "สองสามวันทีผ่านมา มีรายงานมากมาย(รวมถึงที่มาจาก SANS) เกี่ยวกับข้อผิดพลาดพี่บใน Firefox โดยเฉพาะส่วนที่เกี่ยวข้องกับการจัดการสตริงยูนิโค้ดทีมีความยาวมากๆ ซึ่งอ้างว่า มันสามารถล่มการทำงานของ Firefox ในบางเวอร์ชัน ทั้งนี้รายงานที่ได้เผยแพร่ผ่านตัวแทนผู้เกี่ยวข้องต่างๆ ที่ระบุว่า ข้อผิดพลาดของการทำงานดังกล่าวสามารถนำไปใช้ได้ จากการวิเคราะห์ของเราพบว่า มันไม่ได้เป็นเช่นนั้น และเราไม่พบตัวอย่างของการใช้ช่องโหว่ดังกล่าวด้วย" Mike Shaver โพสต์ข้อความไว้ในบล็อก Mozilla Security "ผลจากการวินิจฉัยของเรา เราไม่เชื่อว่า สิ่งที่กล่าวอ้างกันมานั้นจะเป็นช่องโหว่ที่สามารถใช้งานได้ใน Firefox ยิ่งไปกว่านั้น เราเชื่อว่า รายงานของ IBM มีข้อผิดพลาด และรายงานการจัดอันดับความรุนแรงของ National Vulnerability Database ไม่ถูกต้อง เราได้ติดต่อไปยังทั้งสองหน่วยงานแล้ว และหวังว่าจะได้รับการแก้ไขโดยเร็ว" ขอบคุณข้อมูลและภาพประกอบจาก...