ที่มา : http://thaicert.nectec.or.th/bulletin/other/firefox-iframe.php

คำอธิบายโดยย่อ

ค้นพบช่องโหว่ที่มีความรุนแรงระดับสูงในผลิตภัณฑ์ Mozilla Firefox ที่เกิดจากข้อผิดพลาดในการทำงานของ javascript ใน js320.dll และ xpcom_core.dll ซึ่งถูกเรียกใช้โดยฟังก์ชัน iframe.contentWindow.focus() ที่ไม่ได้มีการป้องกันหน่วยความจำที่ดีพอ ส่งผลให้เกิดความเสียหายโดยผู้บุกรุกสามารถรันโปรแกรมได้จากระยะไกล

ผลกระทบของช่องโหว

การโจมตีนี้ผู้บุกรุกสามารถทำให้เว็บบราวเซอร์หยุดทำงาน และมีการยืนยันว่าช่องโหว่นี้มีผลกระทบกับโปรแกรม Mozilla Firefox 1.5.0.2 บนระบบปฏิบัติการ Windows และ Linux ทำให้เกิดการโจมตีระยะไกลแบบ Denial of Service (DoS) ซึ่งการโจมตีนี้อาจเป็นสาเหตุผู้บุกรุกใช้การโจมตีจากระยะไกลเพื่อให้ได้รับสิทธิในระดับของผู้ดูแลระบบหรือผู้ใช้งานได้

ระดับความรุนแรง

สูง (High)

ซอฟต์แวร์ที่ได้รับผลกระทบ

* Mozilla Firefox เวอร์ชันที่ต่ำกว่าหรือเท่ากับ 1.5.0.2

วิธีการแก้ไข

การแก้ไขนี้เป็นแนวทางแก้ไขเพียงชั่วคราวจนกว่าผู้ผลิตจะแก้ไขช่องโหว่ดังกล่าว หากผู้ผลิตแก้ไขช่องโหว่แล้วแนะนำให้ผู้ใช้ปรับปรุงซอฟต์แวร์ตามที่ผู้ผลิตแนะนำโดยเร็วที่สุด ขั้นตอนการแก้ไขสำหรับผู้ใช้งาน Mozilla Firefox 1.5.0.2 ให้ยกเลิกการทำงานของ Javascript ตามวิธีการต่อไปนี้

1. ใช้เมาส์คลิกเมนู Tools แล้วเลือก Options... ของโปรแกรม Mozilla Firefox

2.ใช้เมาส์คลิกที่ Content และให้นำเครื่องหมาย ที่ Enable Java และ Enable Javascript ออก ดังแสดงในรูป จากนั้นจึงคลิกที่ปุ่ม OK

3.# ปิดโปรแกรม Mozilla Firefox หลังจากนั้นให้เรียกใช้ใหม่

เอกสารอ้างอิง

* Mozilla Firefox iframe.contentWindow.focus Buffer Overflow Vulnerability -
http://www.securityfocus.com/bid/17671
* Mozilla Products Memory Corruption and Information Disclosure Vulnerabilities - http://www.frsirt.com/english/advisories/2006/1356

Comment

Comment:

Tweet

กำ ใช้ไฟฟ๊อกอยู่อะ

- -* แย่แร้วตู

#11 By คุณเก่งจัง (203.113.71.165) on 2007-06-17 11:34

#10 By (83.182.183.162) on 2007-06-09 00:58

ขอบคุณมากค่ะที่มาบอกกัน
หุหุหุ ดีน่ะที่เราใช้หน่ะคือ Mozilla Firefox 2.0.0.1 (เวอร์ชั่นเซฟตี้) อิอิอิ

ฉะนั้น หายห่วงคร๊าบบบบ...

#9 By Nancy (86.83.29.213) on 2007-05-21 03:42

อ๊าก... หมาย่าง...

#8 By เต่า on 2006-05-14 10:35

อ่าเนอะ ไม่ได้ใช้Firefox
เป็นโรคจิต ติดเน็ตแคป

#7 By [ Sai ];charot on 2006-05-12 19:46

เหอๆ ขอบคุณนะขอรับ

โปรแกรมสมัยนี้มันน่ากลัวมากๆเลยอ่าครับ ถ้าเราไม่อัพเดต มีหวังเศร้าตายคาคอมแน่ๆ T_T

#6 By Ku@ng,..คุง on 2006-05-11 15:39

หูยโหดจัง

#5 By TalkTwoMe on 2006-05-11 13:55

อือ

#4 By pjuneja on 2006-05-10 21:50

Firefox 1.5.0.3 ออกมาแก้ไขตั้งแต่วันที่ 2 พ.ค. แล้วครับ
ให้ไปดาวน์โหลดมาติดตั้งใหม่เลยจะชัวร์กว่า

#3 By PaePae on 2006-05-10 20:01

ขอบคุณนะคะด็อกเตอร์ ดีจังเหมือนอับเดตข่าวทุกอาทิตย์เลย

#2 By tara on 2006-05-10 17:40

แหะๆๆๆๆ.. หายหน้าหายตาไปนานเลย
อิอิ... บอลก็หายไปนานเหมือนกันฮะ เพิ่งเปิดเทอมอ้ะ... อุอิ

#1 By Daily Prophet Team on 2006-05-10 17:22