« Firefox 1.5.0.3+Thai WBR
Bon Echo Alpha 2 (ว่าที่ Firefox 2) »

เตือน!! พบช่องโหว่ใน Firefox 1.5.0.3

12 พฤษภาคม 2006 โดย ooooo Tags:

ข่าวจาก : กองบรรณาธิการเว็บไซต์ ARiP.co.th

ขอคัดลอกเนื้อหามาเผยแพร่นะครับ ต้องขอขอบคุณ arip มาไว้ ณ ที่นี้ด้วย
__________________________________

รายงานข่าวล่าสุดแจ้งว่า บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยออกโรงเตือนผู้ใช้ทั่วโลกเกี่ยวกับช่องโหว่ใหม่ในบราวเซอร์โอเพ่นซอร์ส Mozilla Firefox ที่ผู้ไม่หวังดีสามารถนำไปใช้ในการสร้างการโจมตีแบบ DoS ได้บริการแจ้งเตือนจาก Securityview ยืนยันเมื่อวานนี้ว่า พบช่องโหว่ในบราวเซอร์ Firefox เวอร์ชัน 1.5.0.3 โดยเมื่อช่องโหว่ดังกล่าวถูกนำไปใช้มันจะยอมให้ JavaScript สร้างแท็ก image กับลิงค์ mailto: ซึ่งจะทำให้สามารถเปิดแอพพลิเคชันเมล์ได้โดยอัตโนมัติโดยผู้ใช้ไม่ต้องทำอะไรทั้งสิ้น ทั้งนี้ข้อความที่ปรากฎในบริการแจ้งเตือนดังกล่าวอ้างอิงจาก SANS Internet Storm Center

“ผลลัพธ์ก็คือ หน้าต่างอีเมล์จำนวนมากจะถูกเปิดขึ้นเองโดยอัตโนมัติ จนระบบไม่สามารถตอบสนองการทำงานได้ในที่สุด” SANS กล่าวเตือน

ในระหว่างที่ผู้ใช้รอแพตช์แก้ไขจากทาง Mozilla ทางศูนย์ฯ แนะนำให้ตั้งข้อกำหนดใน Firefox ป้องกันไม่ให้แอพพลิเคชันอีเมล์เริ่มต้นทำงานได้โดยอัตโนมัติ ซึ่งผลจากการตั้งข้อกำหนดในลักษณะดังกล่าว เมื่อใดก็ตามที่ผู้ใช้คลิกบนลิงค์ mailto: ผู้ใช้จะได้รับการสอบถามก่อนว่า ต้องการให้เริ่มต้นการทำงานของแอพพลิเคชันอีเมล์ หรือไม่? (ดูรายละเอียดขั้นตอนการตั้งค่าในรูปข้างล่างนี้) การแก้ปัญหาด้วยวิธีนี้จะช่วยให้ระบบของคุณรอดพ้นจากการโจมตีในลักษณะดังกล่าวแบบไม่ทันตั้งตัว แต่คุณอาจจะรู้สึกรำคาญที่ต้องคลิกบนไดอะล็อกซ์ที่ปรากฎขึ้นมา

ใน Firefox พิมพ์ about:config (1) พิมพ์ network.protocol-handler.warn-external.mailto ในช่องค้นหา (2) ดับเบิ้ลคลิกบนรายการดังกล่าว(3) เพื่อกำหนดค่าการแจ้งเตือนให้เป็น “true” จากนั้นลองคลิกลิงค์หน้าทดสอบช่องโหว่ข้างล่างนี้

หลังจากตั้งค่าดังกล่าวข้างต้นเสร็จแล้ว คุณสามารถทดสอบช่องโหว่ดังกล่าว โดยคลิกที่ หน้าทดสอบ นี้ในเบราเซอร์ Firefox 1.5.0.3 ซึ่งหากคุณไม่ได้เซตไว้ หน้าต่างเมล์จะปรากฎขึ้นมา 100 หน้าต่าง แต่หลังจากเซตอัพแล้ว คุณจะต้องคลิกยกเลิกการแจ้งเตือนเปิดโปรแกรมอีเมล์ถึง 100 ครั้ง แต่การทดสอบนี้ระบบยังปลอดภัย

ผลลัพธ์จากการเปิดหน้าเว็บทดสอบด้วย Firefox ผู้ใช้ต้องคลิกปุ่ม cancel ในไดอะล็อกบ๊อกซ์ 100 ครั้ง แทนที่จะเป็นการเปิดหน้าต่างเขียนอีเมล์มากถึง 100 หน้าต่าง (หากข้อกำหนดเป็น false) ซึ่งระบบอาจเดี้ยงได้

ทางกลุ่มยังได้แนะนำว่า อาจใช้วิธีปิดการทำงานของ JavaScript หรือฟังก์ชัน mailto: ถึงแม้จะปลอดภัย แต่มันจะเป็นวิธีที่สร้างความน่ารำคาญให้กับผู้ใช้มากกว่าด้วย
__________________________________

ปัญหานี้ คาดว่าคงจะมีแพตช์ออกมาแก้ ไม่ก็ถูกแก้มาในรุ่น 1.5.0.4 เลยครับ

1 Star2 Stars3 Stars4 Stars5 Stars
3.33 เต็ม 5 (จาก 3 ผู้โหวต)

มี 5 ความเห็นที่ 'เตือน!! พบช่องโหว่ใน Firefox 1.5.0.3'

Feed for this Entry Trackback Address
  1. 1 อิอิ 12 พฤษภาคม 2006 เวลา 19:15:27

    เปิด NoScript ทิ้งไว้ตลอดเลยเพราะมันเข้ามาช่องนี้ทุกที

  2. 2 kong 12 พฤษภาคม 2006 เวลา 22:17:50

    ใช้ NoScript กันได้เหรอครับ

  3. 3 Arthuran™ 13 พฤษภาคม 2006 เวลา 13:07:20

    ลองหน้าทดสอบแล้วเครื่องเกือบค้างเลย = =”

  4. 4 subzero 14 พฤษภาคม 2006 เวลา 14:32:42

    เลวร้ายขนาดไหน???

  5. 5 ooooo 14 พฤษภาคม 2006 เวลา 16:10:25

    ความจริงโอกาสจะเจอนี่ยากมากครับ

    แต่มันก็ไม่แน่…

Leave a Reply

                    


ผู้สนับสนุน

ค้นหา

ล่าสุด

RSS

หมวด

Facthosting
  • 5 : Online
    		•

    Close
    E-mail It
    XML-Sitemap
    Creative Commons License