Firefox 66.0.1 ត្រូវចេញផ្សាយជាមួយ Fix for Vulnerabilities Critical Security ដែលរកឃើញ តាមរយៈ Trend Micro‘s Zero Day Initiative។ ភាពងាយរងគ្រោះប៉ះពាល់ដល់កំណែទាំងអស់នៃ version Firefox ក្រោម 66.0.1។ អ្នកវាយប្រហារអាចទាញយកភាពងាយរងគ្រោះទាំងនេះដើម្បីគ្រប់គ្រងពេញលេញលើប្រព័ន្ធគោលដៅនៃដំណើរការ។
CVE-2019-9810: ព័ត៌មានក្លែងក្លាយមិនត្រឹមត្រូវ
ព័ត៌មានក្លែងក្លាយមិនត្រឹមត្រូវជាមួយកម្មវិធី IonMonkey JIT complier សម្រាប់ Array.prototypeype .slice នាំឱ្យបាត់ការកំណត់ព្រំដែន និងការបង្ហូរ buffer។ ការត្រួតពិនិត្យព្រំដែនគឺជាវិធីសាស្ត្រដែល ប្រើសម្រាប់រកឃើញអថេរដែលមាននៅក្នុងព្រំដែននោះការត្រួតពិនិត្យមើលដែលបរាជ័យនឹងឆ្លងកាត់ករណីលើកលែង និងលទ្ធផលនៅក្នុងភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព។
CVE-2019-9813: ភាពច្របូកច្របល់ប្រភេទ Ionmonkey ជាមួយនឹងការផ្លាស់ប្តូរ protocol
Mishandling នៃការផ្លាស់ប្តូរ proto នាំឱ្យមានប្រភេទនៃភាពងាយរងគ្រោះច្រឡំក្នុងកូដ IonMonkey JIT។ ភាពងាយរងគ្រោះនៃការភាន់ច្រលំកើតឡើងនៅពេលកូដមិនផ្ទៀងផ្ទាត់វត្ថុអ្វីដែលវា ត្រូវហុច ហើយប្រើវាដោយអាថ៌កំបាំងដោយមិនចាំបាច់ត្រួតពិនិត្យប្រភេទ (type-checking)។ ដោយការទាញ យកភាពងាយរងគ្រោះនេះអ្នកវាយប្រហារអាចប្រតិបត្តិពាក្យបញ្ជាដែលបំពាន ឬលេខកូដនៅលើ ម៉ាស៊ីនគោលដៅ ឬនៅក្នុងដំណើរការគោលដៅដោយគ្មានអន្តរអំពើរបស់អ្នកប្រើ។
ភាពងាយ រងគ្រោះនេះត្រូវរកឃើញដោយអ្នកស្រាវជ្រាវឯករាជ្យឈ្មោះ Niklas Baumstark ដែលផ្ដោត សំខាន់លើកម្មវិធី Mozilla Firefox ជាមួយនឹងការគេចពីការប្រកួតនៅក្នុងកម្មវិធីគំនិតផ្តួចផ្តើម Trend Micro Zero-day ហើយគាត់បង្ហាញកំហុស JIT ដោយជោគជ័យនៅក្នុង Firefox ដែលគាត់ទទួល 40.000 ដុល្លារ។ នៅក្នុង Pwn2Own ឆ្នាំ 2019 មាតិកាអ្នកស្រាវជ្រាវទាញយកកំហុសជាច្រើន ជាមួយអ្នកផ្តល់សេវានាំមុខគេដូចជា Edge, Mozilla Firefox, Windows, VMware និងទទួល 270,000 USD ក្នុងមួយថ្ងៃដោយការដាក់ 9 unique zero-day។ កំហុស Firefox ត្រូវណែនាំនៅ ថ្ងៃទី 2 នៃការប្រលងដោយក្រុម Fluoroacetate និងអ្នកស្រាវជ្រាវសន្តិសុខឯកជនឈ្មោះ Niklas Baumstark។
ប្រភព៖
http://www.ehackingnews.com/2019/03/firefox-update-fixes-critical-security.html
