หน่วยงานแจ้งเตือนภาวะฉุกเฉินของระบบคอมพิวเตอร์ในสหรัฐ (US-CERT)
ประกาศเตือนเมื่อวันอังคารที่ผ่านมาว่า พบช่องโหว่ในบราวเซอร์ไฟร์ฟอกซ์
3.5
ซึ่งเปิดโอกาสให้ผู้บุกรุกสามารถสั่งรันโค้ดอันตรายในเครื่องคอมพิวเตอร์
ผ่านทางอินเทอร์เน็ตได้
ทั้งนี้โค้ดโปรแกรมที่พิสูจน์ทราบการใช้ช่องโหว่ดังกล่าวได้ถูกโพสต์ขึ้นไป
บนเน็ตเมื่อวันจันทร์ที่ผ่านมาในเว็บไซต์ Milw0rm.com และดูเหมือนว่า มันเริ่มมีการโจมตีด้วยช่องโหว่นี้แล้วช่อง
โหว่ดังกล่าวถูกพบโดย Simon Berry-Byrne ซึ่งเปิดเผยว่า
มันเกี่ยวข้องกับวิธีการทำงานของ JavaScript ใน Firefox 3.5
ทางด้านโมซิลล่าได้รับทราบช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว
และกำลังทดสอบการแก้ไขช่องโหว่ดังกล่าว "สำหรับการใช้ช่องโหว่นี้
ผู้บุกรุกจะหลอกให้เหยื่อเข้าไปเยี่ยมชมเว็บเพจที่ฝังโค้ดอันตรายไว้
อย่างไรก็ตาม ช่องโหว่ดังกล่าว
สามารถป้องกันในเบื้องต้นได้ด้วยการยกเลิก JIT ในกลไกการทำงานของ
JavaScript ซึ่งขั้นตอนมีดังนี้
อีกวิธีหนึ่งก็คือ ติดตั้ง NoScript plug-in ซึ่งจะยกเลิก (disable) การทำงานของ javaScript ทั้งหมดในบราวเซอร์ Secunia
บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยในเดนมาร์ก
จัดระดับความรุนแรงของช่องโหว่นี้เป็น "Highly Critical"
พร้อมทั้งตั้งข้อสังเกตว่า Firefox
เวอร์ชันเก่าอาจจะได้รับผลกระทบจากช่องโหว่นี้ด้วย ส่วนทางด้านบริษัท F-Secure ในฟินแลนด์ กล่าวว่า Exploit Shield ซอฟต์แวร์รักษาความปลอดภัยของตนสามารถป้องกันการใช้ช่องโหว่นี้ได้
ประกาศเตือนเมื่อวันอังคารที่ผ่านมาว่า พบช่องโหว่ในบราวเซอร์ไฟร์ฟอกซ์
3.5
ซึ่งเปิดโอกาสให้ผู้บุกรุกสามารถสั่งรันโค้ดอันตรายในเครื่องคอมพิวเตอร์
ผ่านทางอินเทอร์เน็ตได้
ทั้งนี้โค้ดโปรแกรมที่พิสูจน์ทราบการใช้ช่องโหว่ดังกล่าวได้ถูกโพสต์ขึ้นไป
บนเน็ตเมื่อวันจันทร์ที่ผ่านมาในเว็บไซต์ Milw0rm.com และดูเหมือนว่า มันเริ่มมีการโจมตีด้วยช่องโหว่นี้แล้วช่อง
โหว่ดังกล่าวถูกพบโดย Simon Berry-Byrne ซึ่งเปิดเผยว่า
มันเกี่ยวข้องกับวิธีการทำงานของ JavaScript ใน Firefox 3.5
ทางด้านโมซิลล่าได้รับทราบช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว
และกำลังทดสอบการแก้ไขช่องโหว่ดังกล่าว "สำหรับการใช้ช่องโหว่นี้
ผู้บุกรุกจะหลอกให้เหยื่อเข้าไปเยี่ยมชมเว็บเพจที่ฝังโค้ดอันตรายไว้
อย่างไรก็ตาม ช่องโหว่ดังกล่าว
สามารถป้องกันในเบื้องต้นได้ด้วยการยกเลิก JIT ในกลไกการทำงานของ
JavaScript ซึ่งขั้นตอนมีดังนี้
- เปิด Firefox 3.5 ในช่อง location พิมพ์คำสั่ง about:config
- พิมพ์คำว่า jit เข้าไปในช่อง Filter ที่อยู่ด้านบนของส่วนแก้ไขคอนฟิก
- ดับเบิ้ลคลิ้กบนบรรทัดที่มีข้อความว่า "javascript.options.jit.content" เพื่อตั้งค่าให้เป็น False
อีกวิธีหนึ่งก็คือ ติดตั้ง NoScript plug-in ซึ่งจะยกเลิก (disable) การทำงานของ javaScript ทั้งหมดในบราวเซอร์ Secunia
บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยในเดนมาร์ก
จัดระดับความรุนแรงของช่องโหว่นี้เป็น "Highly Critical"
พร้อมทั้งตั้งข้อสังเกตว่า Firefox
เวอร์ชันเก่าอาจจะได้รับผลกระทบจากช่องโหว่นี้ด้วย ส่วนทางด้านบริษัท F-Secure ในฟินแลนด์ กล่าวว่า Exploit Shield ซอฟต์แวร์รักษาความปลอดภัยของตนสามารถป้องกันการใช้ช่องโหว่นี้ได้
จาก Rssthai