|
CERT Advisory CA-2008-10 (Technical Cyber Security
Alert TA08-087A)
Mozilla Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-087A.html
เรียบเรียงโดย: กฤดากร
หิรัญพฤกษ์
ระบบที่ได้รับผลกระทบ
- Mozilla Firefox
- Mozilla Thunderbird
- Mozilla SeaMonkey
ผลิตภัณฑ์อื่นซึ่งใช้ส่วนประกอบของ
Mozilla อาจได้รับผลกระทบด้วย
กล่าวโดยทั่วไป
FireFox, Thunderbird และ SeaMonkey เวอร์ชันใหม่
พบช่องโหว่จำนวนหนึ่งซึ่งอาจอนุญาตให้ผู้บุกรุกจากระยะไกลทำการสั่งรันคำสั่งบนระบบที่ได้รับผลกระทบได้
I. คำอธิบาย
Mozilla และ SeaMonkey ได้ออกโปรแกรมเวอร์ชันใหม่ของ
FireFox, Thunderbird และ SeaMonkey เพื่อแก้ไขช่องโหว่จำนวนหนึ่ง
รายละเอียดเพิ่มเติมของช่องโหว่เหล่านั้นสามารถดูได้จาก Mozilla
Foundation Security Advisories และ Vulnerability
Notes Database ผู้บุกรุกสามารถทำการโจมตีช่องโหว่นี้โดยหลอกลวงให้ผู้ใช้เปิดดูเอกสาร
HTML ซึ่งมีโค้ดที่เป็นอันตราย ทั้งในรูปแบบของหน้าเว็บหรือข้อความอีเมล์แบบ
HTML
II. ผลกระทบ
ผลกระทบของช่องโหว่มีความแตกต่างกันไป โดยช่องโหว่ที่มีความรุนแรงที่สุดอาจอนุญาตให้ผู้บุกรุกจากระยะไกลซึ่งไม่มีสิทธิในระบบทำการรันคำสั่งบนระบบที่มีช่องโหว่
และอาจสามารถทำให้ระบบไม่สามารถให้บริการได้หรือสามารถโจมตีในรูปแบบของ
cross-site scripting ผ่านหน้าเว็บได้
III. วิธีแก้ไข
ปรับปรุงเวอร์ชันของผลิตภัณฑ์
ช่องโหว่เหล่านี้ถูกแก้ไขใน Mozilla Firefox 2.0.0.13,
Thunderbird 2.0.0.13,
SeaMonkey 1.1.9.
ยกเลิกการใช้งาน Java Script
ในบรรดาช่องโหว่ที่เกิดขึ้น มีบางช่องโหว่ที่ต้องยกเลิกการใช้งาน
Java Script หรือติดตั้ง Noscript
Extension ในการปรับปรุงโปรแกรมซึ่งรายละเอียดสามารถดูได้จากเอกสารการปรับปรุงความปลอดภับบนเว็บบราวเซอร์
ทั้งนี้ Thunderbird จะตั้งค่าให้ยกเลิกการใช้งาน Java Script และ
Java โดยปริยาย
IV. เอกสารอ้างอิง
|
