Firefox และ Chrome ออกอัปเดตแพทช์เพื่อปิดช่องโหว่ความรุนแรงสูง

465/66 (IT) ประจำวันศุกร์ที่ 27 ตุลาคม 2566

เมื่อวันอังคาร Mozilla ได้เปิดตัว Firefox 119 พร้อมแพตช์สำหรับช่องโหว่ 11 รายการ รวมถึงปัญหาที่มีความรุนแรงสูงสามประเด็น ช่องโหว่แรกคือ CVE-2023-5721 เป็นข้อบกพร่องการหน่วงเวลาการเปิดใช้งานไม่เพียงพอ ซึ่งอาจส่งผลให้ผู้ใช้เปิดใช้งานหรือปิดข้อความแจ้งเตือน และกล่องโต้ตอบของเบราว์เซอร์โดยไม่ได้ตั้งใจ ซึ่งอาจทำให้เกิดการ clickjacking ได้ การอัปเดตเบราว์เซอร์ยังกล่าวถึงปัญหาด้านความปลอดภัยของหน่วยความจำหลายรายการ ในหมายเลข CVE-2023-5730 และ CVE-2023-5731 และอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่กำหนดเองได้ Firefox 119 ยังมาพร้อมกับแพตช์สำหรับช่องโหว่ระดับปานกลาง 7 รายการ ซึ่งนำไปสู่การรั่วไหลของ header การขัดข้อง ข้อผิดพลาดที่ไม่คาดคิด การเปิด URL ที่กำหนดเอง การแจ้งเตือนแบบเต็มหน้าจอที่ถูกบดบัง และบายพาสการป้องกันการดาวน์โหลด และนอกจากนี้ Mozilla ยังประกาศการเปิดตัว Firefox ESR 115.4 และ Thunderbird 115.4.1 พร้อมแพทช์สำหรับปัญหาที่แก้ไขด้วย Firefox 119 รวมถึง CVE-2023-5721 และ CVE-2023-5730    

เมื่อวันอังคาร Google ได้ประกาศการอัปเดตซอฟต์แวร์สำหรับ Chrome ซึ่งแก้ไขช่องโหว่สองรายการ รวมถึงปัญหาที่มีความรุนแรงสูงซึ่งรายงานโดยนักวิจัยภายนอก ช่องโหว่นี้หมายเลข CVE-2023-5472 โดยอธิบายว่าเป็นปัญหาการใช้งานหลังใช้งานฟรีใน Profiles สามารถใช้ข้อบกพร่องแบบไร้การใช้งานใน Chrome เพื่อหลบหนีจากแซนด์บ็อกซ์ของเบราว์เซอร์ และอาจเรียกใช้โค้ดบนระบบปฏิบัติการพื้นฐานได้ หากสามารถนำมารวมกับข้อบกพร่องอื่นๆ ในกระบวนการที่ได้รับสิทธิพิเศษ การทำซ้ำ โดย Chrome เวอร์ชันล่าสุดกำลังเปิดตัวให้กับผู้ใช้งานในเวอร์ชัน 118.0.5993.117 สำหรับ macOS และ Linux และเป็นเวอร์ชัน 118.0.5993.117/.118 สำหรับ Windows

แหล่งข่าว https://www.securityweek.com/firefox-chrome-updates-patch-high-severity-vulnerabilities/