Si คุณเป็นผู้ใช้ Firefox ให้ฉันบอกคุณว่าถึงเวลาอัปเดตเบราว์เซอร์ของคุณใช่หรือใช่. และเมื่อไม่นานมานี้ มีการค้นพบช่องโหว่ zero day ในเบราว์เซอร์ และถูกโจมตีอย่างแข็งขันในการโจมตีแบบกำหนดเป้าหมาย
การละเมิดความปลอดภัย ถูกเปิดเผยผ่าน Project Zero ของ Google และมีผลกับ Firefox ทุกเวอร์ชัน. อย่างไรก็ตามข่าวดีก็คือมีแพตช์พร้อมให้ใช้งานตั้งแต่วันที่ 18 มิถุนายนในเวอร์ชัน Firefox 67.0.3 และ Firefox ESR 60.7.1
นอกจากนี้ Mozilla ขอแนะนำอย่างยิ่งให้ผู้ใช้อัปเกรด
เกี่ยวกับการละเมิดความปลอดภัย
ในกระดานข่าวความปลอดภัย วิศวกรของ Mozilla ให้คำอธิบาย เกี่ยวกับลักษณะของความผิด
ตัวอย่างเช่นพวกเขาอธิบายว่า นี่คือช่องโหว่ที่สามารถเปิดใช้งานได้โดยการจัดการองค์ประกอบ JavaScript เนื่องจากปัญหาในเมธอด Array.pop (ซึ่งลบองค์ประกอบสุดท้ายของอาร์เรย์ JavaScript)
นอกจากนี้ยังมีรายงานว่าเกิดข้อผิดพลาดr ได้รับประโยชน์จากความสับสนเกี่ยวกับประเภทข้อมูลใน JavaScript
“ ช่องโหว่ความสับสนอาจเกิดขึ้นได้เมื่อจัดการกับวัตถุ JavaScript เนื่องจากปัญหาที่พบใน Array.pop ซึ่งอาจนำไปสู่อุบัติเหตุที่หาประโยชน์ได้ เราตระหนักถึงการโจมตีแบบกำหนดเป้าหมายที่ใช้ประโยชน์จากข้อบกพร่องนี้ "บันทึกที่คลุมเครืออย่างชัดเจน
นอกเหนือจากคำอธิบายสั้น ๆ ที่โพสต์บนไซต์ Mozilla แล้ว ไม่มีรายละเอียดอื่น ๆ เกี่ยวกับช่องโหว่ด้านความปลอดภัยนี้หรือการโจมตีที่อยู่ระหว่างดำเนินการ
หลังจากขอรายละเอียดเพิ่มเติม พวกเขาระบุว่าสามารถใช้ข้อผิดพลาดในการเรียกใช้รหัสระยะไกล (RCE) แต่จะต้องมีการหลบหนีแยกต่างหากจากแซนด์บ็อกซ์เพื่อรันโค้ดในระบบย่อยที่อยู่ภายใต้
"อย่างไรก็ตามมีแนวโน้มว่าจะสามารถใช้ประโยชน์จากการข้ามสคริปต์ได้ซึ่งอาจเพียงพอขึ้นอยู่กับเป้าหมายของผู้โจมตี" พวกเขากล่าวเสริม
การเขียนสคริปต์ข้ามไซต์ (ย่อมาจาก XSS) เป็นข้อบกพร่องด้านความปลอดภัยประเภทหนึ่งของเว็บไซต์ที่อนุญาตให้แทรกเนื้อหาลงในหน้าทำให้เกิดการดำเนินการในเว็บเบราว์เซอร์ที่เข้าชมหน้า
ความเป็นไปได้ของ XSS นั้นกว้างมากเนื่องจากผู้โจมตีสามารถใช้ภาษาทั้งหมดที่เบราว์เซอร์รองรับ (JavaScript, Java, Flash ... ) และมีการค้นพบความเป็นไปได้ใหม่ ๆ เป็นประจำโดยเฉพาะอย่างยิ่งเมื่อมีเทคโนโลยีใหม่ ๆ เช่น HTML5 มาถึง
เช่น เป็นไปได้ที่จะเปลี่ยนเส้นทางไปยังไซต์อื่นเพื่อฟิชชิงหรือเพื่อขโมยเซสชันโดยการเรียกคุกกี้
ในทางกลับกันพวกเขายังให้เหตุผลว่าพวกเขาไม่มีรายละเอียดในขณะนี้เกี่ยวกับวิธีการใช้ข้อบกพร่อง zero day ในเบราว์เซอร์ที่ Coinbase Security สามารถเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีที่ค้นพบ
“ ฉันไม่รู้เกี่ยวกับส่วนที่เกี่ยวข้องกับการแสวงหาประโยชน์อย่างจริงจัง ฉันพบและรายงานข้อบกพร่องเมื่อวันที่ 15 เมษายน "นักวิจัยด้านความปลอดภัยของ Google กล่าว
อย่างไรก็ตามบางคนอาจกล่าวว่าจากหน่วยงานอื่นที่รายงานช่องโหว่ด้านความปลอดภัย (Coinbase Security) เราสามารถสันนิษฐานได้ว่าช่องโหว่ด้านความปลอดภัยนี้ถูกใช้ประโยชน์ในระหว่างการโจมตีเจ้าของสกุลเงินดิจิทัล
จะอัพเดตเบราว์เซอร์ Firefox บน Linux ได้อย่างไร?
ในการอัปเดตเวอร์ชันแก้ไขใหม่ของเบราว์เซอร์เป็นเวอร์ชันนี้และแม้แต่ติดตั้งหากคุณยังไม่มีคุณสามารถทำได้โดยทำตามคำแนะนำที่เราแบ่งปันด้านล่าง
ผู้ใช้ Ubuntu, Linux Mint หรืออนุพันธ์อื่น ๆ ของ Ubuntu, พวกเขาสามารถติดตั้งหรืออัปเดตเป็นเวอร์ชันใหม่นี้ได้โดยใช้ PPA ของเบราว์เซอร์
สิ่งนี้สามารถเพิ่มลงในระบบได้โดยการเปิดเทอร์มินัลและดำเนินการคำสั่งต่อไปนี้:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
เสร็จแล้วพวกเขาก็ต้องติดตั้งด้วย:
sudo apt install firefox
ในกรณีของ ผู้ใช้ Arch Linux และอนุพันธ์เพียงแค่เรียกใช้ในเทอร์มินัล:
sudo pacman -Syu
หรือติดตั้งด้วย:
sudo pacman -S firefox
ไปยัง ลีนุกซ์อื่น ๆ ทั้งหมดสามารถดาวน์โหลดแพ็คเกจไบนารีได้ จาก ลิงค์ต่อไปนี้
อีกวิธีหนึ่งในการอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดคือการเปิดเบราว์เซอร์และคลิกที่เครื่องหมายคำถามในแถบเมนู
ที่นี่เราจะเลือก "About Firefox" จากนั้นการดาวน์โหลดและติดตั้งเวอร์ชันใหม่จะเริ่มโดยอัตโนมัติ
Firefox ที่ออกการแก้ไขคือ 67.0.3 และ 60.7.1 ซึ่งช่องโหว่ที่สำคัญ (CVE-2019-11707) ได้รับการแก้ไขแล้ว