១. ព័ត៌មានទូទៅ
ក្រុមហ៊ុន Mozilla បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដើម្បីដោះស្រាយចំនុចដែលងាយរងគ្រោះ (vulnerability) នៅក្នុងកម្មវិធី Firefox និង Firefox ESR។ ការវាយប្រហារជោគជ័យទៅលើចំនុចខ្សោយនេះអាចអនុញ្ញាតឱ្យ អ្នកវាយប្រហារអាចដំណើរការនូវពាក្យបញ្ជា ឬកូដនៅលើម៉ាស៊ីនដែលប្រើកម្មវិធី Firefox ដែលរងគ្រោះនោះ ធ្វើអោយគាំងដំណើរការកម្មវិធី Firefox ហើយក៏អាចកែប្រែ លុប ទិន្នន័យ ឬបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីមួយ ដែលមានសិទ្ធជា root user ឬ administrator។
២. ផលិតផលប៉ះពាល់
កម្មវិធី Firefox ដែលរងផលប៉ះពាល់មានដូចខាងក្រោម៖
- Firefox កំណែ 67.0.3 សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Window 32-bit និង 64-bit
- Firefox កំណែ 67.0.3 សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Mac និង Linux
- Firefox ESR កំណែ 60.7.1
៣. ផលវិបាក
ការវាយប្រហារទៅលើភាពងាយរងគ្រោះនេះ កើតឡើងនៅពេលមានការកែប្រែទៅលើ JavaScript Object តាមរយៈបញ្ហាដែលមានក្នុង Array.pop ហើយការវាយប្រហារដោយជោគជ័យអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារ អាចដំណើរការនូវពាក្យបញ្ជា ឬកូដនៅលើ ម៉ាស៊ីនដែលប្រើកម្មវិធី Firefox ដែលរងគ្រោះនោះ ធ្វើអោយគាំងដំណើរការកម្មវិធី Firefox ឬបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីមួយដែល មានសិទ្ធជា root user ឬ administrator ដើម្បីអាចកែប្រែ លុប លួច ទិន្នន័យ និងចម្លងមេរោគជាដើម តែកម្រិតប៉ះពាល់នៃការវាយប្រហារនេះ គឺអាស្រ័យទៅលើសិទ្ធរបស់គណនីអ្នកប្រើប្រាស់ដែលទទួលរងការវាយប្រហារ សម្រាប់អ្នកប្រើប្រាស់ដែលមានការកំណត់សិទ្ធរបស់គណនីជា normal user អាចមានផលប៉ះពាល់តិចជាងអ្នកដែលប្រតិបត្តិការជាមួយសិទ្ធជា root user ឬ administrator។
៤. ដំណោះស្រាយ
ក្រុមហ៊ុន Mozilla ណែនាំឱ្យអ្នកប្រើប្រាស់ធ្វើបច្ចុប្បន្នភាពកម្មវិធី ទៅកាន់កំណែថ្មីបំផុត ( Latest version ) តាមវិធីសាស្រ្តដូចខាងក្រោម:
- អ្នកប្រើប្រាស់អាចធ្វើការអាប់ដេតកម្មវិធីដោយខ្លួនឯងតាមរយៈការជ្រើសយកម៉ឺនុយ Options បន្ទាប់មកជ្រើសយកពាក្យ Check for update
- កម្មវិធីនេះអាចធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិនៅពេលមានការអាប់ដេតថ្មី ប្រសិនបើកម្មវិធីត្រូវបានកំណត់នូវការអាប់- ដេតដោយស្វ័យប្រវត្តិ
៥. វេបសាយពាក់ព័ន្ធ
- https://www.us-cert.gov/ncas/current-activity/2019/06/18/Mozilla-Releases-Security-Updates-Firefox-and-Firefox-ESR
- https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
- https://www.bleepingcomputer.com/news/security/mozilla-firefox-6703-patches-actively-exploited-zero-day/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.