เมื่อวานนี้เพื่อนร่วมงานคนหนึ่งของเรา รายงานข้อบกพร่องบางอย่างที่พบ ที่ส่งผลกระทบต่อ Firefox ทุกเวอร์ชันเนื่องจาก มีการค้นพบช่องโหว่ zero day ในเบราว์เซอร์ และถูกโจมตีอย่างแข็งขันในการโจมตีแบบกำหนดเป้าหมาย การละเมิดความปลอดภัยเปิดเผยผ่าน Project Zero ของ Google และส่งผลกระทบต่อ Firefox ทุกเวอร์ชัน
วันต่อมา Mozilla ขอให้ผู้ใช้เบราว์เซอร์ทุกคนอัปเดตอีกครั้ง เป็นรุ่นที่เหนือกว่าใหม่ซึ่งเปิดตัวแล้วนี้ ด้วยสาเหตุที่มีการค้นพบช่องโหว่ zero day ที่สองในเบราว์เซอร์
ข้อผิดพลาดศูนย์วันที่สองใน Firefox
Mozilla ได้เปิดตัว Firefox 67.0.4 เพื่อแก้ไขช่องโหว่ การรักษาความปลอดภัยที่ใช้ในการโจมตีแบบกำหนดเป้าหมายกับ บริษัท cryptocurrency เช่น Coinbase ผู้ใช้ Firefox ควรติดตั้งการอัปเดตนี้ทันที
อยู่หลัง Firefox 67.0.3 และ 60.7.1 เวอร์ชันแก้ไขเพิ่มเติม 67.0.4 และ 60.7.2 ได้รับการเผยแพร่โดยขจัดช่องโหว่ zero day ที่สอง (CVE-2019-11708) ซึ่งทำให้สามารถข้ามกลไกการแยกแซนด์บ็อกซ์ของเบราว์เซอร์ได้
ปัญหาอนุญาตให้ใช้คำขอคำสั่งเพื่อเปิดการจัดการการโทร IPC เพื่อเปิดเนื้อหาเว็บในกระบวนการย่อยที่ไม่ใช้แซนด์บ็อกซ์
รวมกับช่องโหว่อื่น ปัญหานี้ช่วยให้คุณข้ามระดับการป้องกันและ จัดระเบียบการทำงานของรหัสในระบบ
ก่อนที่จะได้รับการซ่อมแซม ช่องโหว่ที่ระบุใน Firefox สองเวอร์ชันล่าสุด พวกเขาถูกใช้เพื่อโจมตีพนักงานของ Coinbase แลกเปลี่ยนสกุลเงินดิจิทัลและยังใช้เพื่อแพร่กระจายมัลแวร์สำหรับแพลตฟอร์ม macOS
การตรวจสอบพารามิเตอร์ไม่เพียงพอที่ส่งผ่านพร้อมกับพรอมต์: ข้อความเปิด IPC ระหว่างกระบวนการลูกและกระบวนการหลักอาจทำให้กระบวนการหลักที่ไม่ใช่แซนด์บ็อกซ์เปิดเนื้อหาเว็บที่เลือกโดยกระบวนการลูกที่ถูกบุกรุก เมื่อรวมกับช่องโหว่เพิ่มเติมอาจส่งผลให้มีการเรียกใช้รหัสโดยอำเภอใจบนคอมพิวเตอร์ของผู้ใช้
สัปดาห์นี้ Mozilla เปิดตัว Firefox 67.0.3 เพื่อแก้ไขช่องโหว่การเรียกใช้รหัสระยะไกลที่สำคัญซึ่งถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย
นับตั้งแต่มีการเปิดตัวช่องโหว่และสิ่งที่ไม่รู้จักอื่น ๆ ถูกค้นพบว่าถูกผูกมัดเข้าด้วยกันเป็นส่วนหนึ่งของการโจมตีแบบหลอกเพื่อลบและเรียกใช้เพย์โหลดที่เป็นอันตรายบนเครื่องของเหยื่อ
จึงมีการกล่าวหาว่า ข้อมูลเกี่ยวกับช่องโหว่แรกถูกส่งไปยัง Mozilla โดยผู้เข้าร่วม Google Project Zero ในวันที่ 15 เมษายนและแก้ไขในวันที่ 10 มิถุนายนใน Firefox 68 เวอร์ชันเบต้า (ผู้โจมตีอาจวิเคราะห์โซลูชันที่เผยแพร่และเตรียมการโจมตีโดยใช้ช่องโหว่อื่นเพื่อหลีกเลี่ยงการแยกแซนด์บ็อกซ์)
จะอัพเดตเบราว์เซอร์ Firefox บน Linux ได้อย่างไร?
ในการอัปเดตเวอร์ชันแก้ไขใหม่ของเบราว์เซอร์เป็นเวอร์ชันนี้และแม้แต่ติดตั้งหากคุณยังไม่มีคุณสามารถทำได้โดยทำตามคำแนะนำที่เราแบ่งปันด้านล่าง
ผู้ใช้ Ubuntu, Linux Mint หรืออนุพันธ์อื่น ๆ ของ Ubuntu, พวกเขาสามารถติดตั้งหรืออัปเดตเป็นเวอร์ชันใหม่นี้ได้โดยใช้ PPA ของเบราว์เซอร์
สิ่งนี้สามารถเพิ่มลงในระบบได้โดยการเปิดเทอร์มินัลและดำเนินการคำสั่งต่อไปนี้:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
เสร็จแล้วพวกเขาก็ต้องติดตั้งด้วย:
sudo apt install firefox
ไปยัง ลีนุกซ์อื่น ๆ ทั้งหมดสามารถดาวน์โหลดแพ็คเกจไบนารีได้ จาก ลิงค์ต่อไปนี้
หรือตรวจสอบว่ามีการรวมเวอร์ชันใหม่ไว้ในที่เก็บของ distro ของคุณแล้วหรือไม่
อีกวิธีหนึ่งในการอัปเดตเบราว์เซอร์ สำหรับเวอร์ชันล่าสุดคือการเปิดเบราว์เซอร์ที่นี่ผู้ใช้สามารถค้นหาการอัปเดตใหม่ได้ด้วยตนเองในเมนู Firefox -> Help -> About Firefox Firefox จะตรวจสอบการอัปเดตใหม่และติดตั้งโดยอัตโนมัติ
ด้วย คาดว่าจะมีการแก้ไขข้อบกพร่องของ Firefox สำหรับข้อผิดพลาดศูนย์วันที่สองที่ค้นพบ เข้าสู่เบราว์เซอร์ Tor ในอีกไม่กี่วันข้างหน้า
นับตั้งแต่วันนี้ทีม Tor Browser ได้รับการอัปเดตเป็นเวอร์ชัน 8.5.2 ซึ่งรวมถึงการแก้ไขข้อผิดพลาด zero day แรกที่ตรวจพบในสาขา Firefox