115/67 (IT) ประจำวันจันทร์ที่ 25 มีนาคม 2567

Mozilla ได้แก้ไขช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ Firefox จำนวน 2 รายการ หมายเลขช่องโหว่ CVE-2024-29944 และ CVE-2024-29943 ตามลำดับ ที่ถูกนำไปใช้ในระหว่างการแข่งขันแฮ็กในงาน Pwn2Own Vancouver 2024 ครั้งล่าสุด โดยมีนักวิจัย Manfred Paul ( @_manfp ) เป็นผู้สาธิตการโจมตีโดยใช้ประโยชน์จากช่องโหว่ทั้ง 2 รายการนี้ ซึ่งเขาได้รับเงินรางวัลจำนวน 100,000 ดอลลาร์ และคะแนน Master of Pwn 10 คะแนน จากการแฮ็กครั้งนี้ โดยช่องโหว่ CVE-2024-29943 ทำให้ผู้โจมตีสามารถอ่านหรือเขียนนอกขอบเขตบน ออบเจ็กต์ JavaScript โดยการหลอกการกำจัดการตรวจสอบขอบเขตตามช่วง และช่องโหว่ CVE-2024-29944 ผู้โจมตีสามารถแทรกตัวจัดการเหตุการณ์ลงในออบเจ็กต์พิเศษที่จะอนุญาตให้เรียกใช้งาน JavaScript โดยอำเภอใจในกระบวนการหลักซึ่งช่องโหว่นี้จะมีผลกับ Firefox บนเดสก์ท็อปเท่านั้น โดยไม่ส่งผลกระทบต่อ Firefox เวอร์ชันมือถือ ทั้งนี้ Mozilla ก็ได้เปิดตัวการอัปเดตเวอร์ชัน Firefox 124.0.1 และ Firefox ESR 115.9.1 เพื่อแก้ไขปัญหาของช่องโหว่ทั้ง 2 รายการ เรียบร้อยแล้ว
การแข่งขันแฮ็ก Pwn2Own Vancouver 2024 จัดขึ้นในสัปดาห์นี้ Zero Day Initiative (ZDI) ของ Trend Micro ประกาศว่าผู้เข้าร่วมได้รับเงินรางวัลเป็นจำนวน 1,132,500 ดอลลาร์สหรัฐฯ ในการแข่งขัน Pwn2Own Vancouver 2024 จากการสาธิต 29 ช่องโหว่โหว่แบบ ZERO-DAY ที่ไม่ซ้ำกัน โดยในวันแรกของการแข่งขัน ทีม Synacktiv ทำการสาธิตการโจมตีรถยนต์ Tesla ได้สำเร็จ และนักวิจัย Manfred Paul ( @_manfp ) ได้รับรางวัล Master of Pwn โดยได้รับเงินรางวัลจำนวน 202,500 ดอลลาร์ และ 25 คะแนน