โดย กองบรรณาธิการเว็บไซต์ ARiP.co.th
อัพเดต 19 ตุลาคม 2005

รายงานข่าวแจ้งว่า ข้อผิดพลาดการทำงานที่พบในบราวเซอร์ไฟร์ฟอกซ์ (Mozilla Firefox) สามารถนำไปใช้ในการล่มการทำงานของบราวเซอร์ตลอดจนการสร้างการโจมตีแบบ Denial of Service (DoS) ได้



เว็บไซต์ Whitedust Security ได้เผยแพร่โค้ดที่ผ่านการพิสูจน์แล้วว่า สามารถทำงานกับช่องโหว่ที่มีอยู่ได้จริง โดยผู้ใช้บราวเซอร์ Firefox สามารถพิสูจน์ข้อเท็จจริงได้ด้วยตัวเองโดย Click here


ความจริงข้อผิดพลาดที่โค้ดดังกล่าวนำไปใช้เป็นตัวจุดชนวนการโจมตีก็ใช่ว่าทางโมซิลล่าจะไม่ทราบมาก่อน เพราะตั้งแต่เดือนสิงหาคมที่ผ่านมา ช่องโหว่ดังกล่าวได้ถูกจัดทำเป็นรายการไว้บนเว็บไซต์ Bugzilla ซึ่งระบบติดตามข้อผิดพลาดของโมซิลล่าเองเสียด้วยซ้ำ


ทางด้าน Secunia บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยแจ้งคำแนะนำเกี่ยวกับบั๊กดังกล่าว เมื่อวันที่ 10 ตุลาคมที่ผ่านมา พร้อมทั้งระบุว่าเป็นจุดอ่อนของ Iframe ที่สามารถทำให้เกิดการโจมตีแบบ DoS ได้ พร้อมทั้งจัดอันดับความรุนแรงของช่องโหว่ดังกล่าวว่า ไม่ร้ายแรง


สำหรับช่องโหว่ที่พบนี้จะมีผลกับบราวเซอร์ Firefox 1.0.7 และต่ำกว่า แต่สำหรับ Beta 2 ของ Firefox 1.5 ได้มีการแก้ไขบั๊กนี้แล้ว


ช่องโหว่ดังกล่าวสามารถล่มการทำงานของบราวเซอร์ซ้ำๆ หลายๆ ครั้งได้ ซึ่งก็ไม่น่าจะเป็นบั๊กที่ร้ายแรงมากนัก แต่มันเป็นไปได้ที่จะพัฒนาไปสู่การโจมตีแบบ DoS ที่รุนแรงมากขึ้น Mark Anderson จาก WhiteDust Security กล่าว ถ้าบั๊กที่พบเพียงแค่สามารถทำให้บราวเซอร์ล่มได้ จะไม่ถือว่าเป็นบั๊กที่ร้ายแรง หรือวิกฤต


อย่างไรก็ตาม มีข้อโต้เถียงว่า การล่มของบราวเซอร์ไม่ใช่เรื่องของการโจมตีแบบ DoS ซึ่ง Anderson ไม่เห็นด้วยต่อคำโต้แย้งดังกล่าว โดยนิยาม มันชัดเจนว่า ข้อผิดพลาดในการทำงานดังกล่าวเป็นการโจมตีแบบ DoS รูปแบบหนึ่ง ซึ่งการทำให้บราวเซอร์ล่มได้ นั่นหมายความว่า ช่องโหว่ที่พบสามารถขัดจังหวะการท่องเว็บของผู้ใช้ และโดยข้อเท็จจริงก็คือ มันได้ทำลายเซสชั่นที่แอคทีฟทั้งหมด แถมยังยับยั้งบริการของผู้ใช้ในขณะนั้นด้วย

Comment

Comment:

Tweet

อย่าว่าก็อปเลยครับ

บอกว่าใช้ไอเดียดีกว่า

ว่าไปแล้ว Dr ก็อายแฮะ

#3 By --Dr Devil-- (202.62.97.118 /unknown) on 2005-10-19 17:41

Jay : อืม.. ล่มไปเลยจริงๆด้วย
บลอคนี้ก๊อปปี้ css ของคุณโรยมานี่นา...

#2 By Jay on 2005-10-19 17:40

ลองด้วยความเสี่ยงของตัวคุณเองนะงับ

#1 By --Dr Devil-- (202.62.97.118 /unknown) on 2005-10-19 17:32