Mozilla Firefox Vulnerabilities
Fixed in Firefox 1.0.5
วันที่ประกาศ : 15 กรกฎาคม 2548
เรียบเรียงโดย : ทรงฤทธิ์ ศรีลาศักดิ์

คำอธิบายโดยย่อ

Mozilla ได้ประกาศแจ้งเตือนช่องโหว่ซึ่งเกิดขึ้นใน Mozilla Firefox จำนวน 12 ช่องโหว่ดังนี้

1. MFSA 2005-56 Code execution through shared function objects
2. MFSA 2005-55 XHTML node spoofing
3. MFSA 2005-54 Javascript prompt origin spoofing
4. MFSA 2005-53 Standalone applications can run arbitrary code through the browser
5. MFSA 2005-52 Same origin violation: frame calling top.focus()
6. MFSA 2005-51 The return of frame-injection spoofing
7. MFSA 2005-50 Possibly exploitable crash in InstallVersion.compareTo()
8. MFSA 2005-49 Script injection from Firefox sidebar panel using data:
9. MFSA 2005-48 Same-origin violation with InstallTrigger callback
10. MFSA 2005-47 Code execution via "Set as Wallpaper"
11. MFSA 2005-46 XBL scripts ran even when Javascript disabled
12. MFSA 2005-45 Content-generated event vulnerabilities

ผู้บุกรุกสามารถใช่ช่องโหว่เหล่านี้เพื่อหลอกล่อให้ผู้ใช้บราวเซอร์ Firefox เปิดดูข้อมูลในเว็บเพจซึ่งสร้างขึ้นมาเป็นพิเศษสำหรับทำการโจมตี เมื่อผู้ใช้เปิดดูทำให้ผู้บุกรุกสามารถนำช่องโหว่ไปใช้ประโยชน์เพื่อทำการบุกรุกระบบได้ เช่น สั่งรันโค้ดจากระยะไกลได้ เป็นต้น

ผลกระทบของช่องโหว่นี้

ผู้บุกรุกสามารถสั่งรันโค้ดได้จากระยะไกล

ระดับความรุนแรง

สูงสุด (Critical)

ซอฟต์แวร์ที่ได้รับผลกระทบ

Mozilla firefox 1.0.4 หรือเวอร์ชันที่ต่ำกว่า

วิธีแก้ไข

ติดตั้งโปรแกรม Firefox เวอร์ชัน 1.0.5 [2]

เอกสารอ้างอิง

• [1] Mozilla Foundation Security Advisories <http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox>
• [2] Home of the Firefox web browser and Thunderbird e-mail client <http://download.mozilla.org/?product=firefox-1.0.5&os=win&lang=en-US>
  

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์