Mozilla ได้ประกาศแจ้งเตือนช่องโหว่ซึ่งเกิดขึ้นใน Firefox จำนวน 12 ช่องโหว่

Mozilla ได้ประกาศแจ้งเตือนช่องโหว่ซึ่งเกิดขึ้นใน Firefox จำนวน 12 ช่องโหว่ดังนี้
1. MFSA 2005-56 Code execution through shared function objects
2. MFSA 2005-55 XHTML node spoofing
3. MFSA 2005-54 Javascript prompt origin spoofing
4. MFSA 2005-53 Standalone applications can run arbitrary code through the browser
5. MFSA 2005-52 Same origin violation: frame calling top.focus()
6. MFSA 2005-51 The return of frame-injection spoofing
7. MFSA 2005-50 Possibly exploitable crash in InstallVersion.compareTo()
8. MFSA 2005-49 Script injection from Firefox sidebar panel using data:
9. MFSA 2005-48 Same-origin violation with InstallTrigger callback
10. MFSA 2005-47 Code execution via "Set as Wallpaper"
11. MFSA 2005-46 XBL scripts ran even when Javascript disabled
12. MFSA 2005-45 Content-generated event vulnerabilities


ผู้บุกรุกสามารถใช่ช่องโหว่เหล่านี้เพื่อหลอกล่อให้ผู้ใช้บราวเซอร์ Firefox เปิดดูข้อมูลในเว็บเพจซึ่งสร้างขึ้นมาเป็นพิเศษสำหรับทำการโจมตี เมื่อผู้ใช้เปิดดูทำให้ผู้บุกรุกสามารถนำช่องโหว่ไปใช้ประโยชน์เพื่อทำการบุกรุกระบบได้ เช่น สั่งรันโค้ดจากระยะไกลได้ เป็นต้น

ผลกระทบของช่องโหว่นี้
ผู้บุกรุกสามารถสั่งรันโค้ดได้จากระยะไกลหรือแสดง URL เพื่อหลอกลวง

วิธีแก้ไข
ติดตั้งโปรแกรม Firefox เวอร์ชัน 1.0.5 [3]

References

[1] Mozilla Suite and Firefox Multiple Code Execution Vulnerabilities
http://www.frsirt.com/english/advisories/2005/1075
[2] Mozilla Foundation Security Advisories
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox
[3] Home of the Firefox web browser and Thunderbird e-mail client
http://download.mozilla.org/?product=firefox-1.0.5&os=win&lang=en-US