184/68 (IT) ประจำวันพุธที่ 21 พฤษภาคม 2568
Mozilla ได้ออกอัปเดตความปลอดภัยสำหรับเบราว์เซอร์ Firefox เพื่อแก้ไขช่องโหว่จำนวน 2 รายการที่ถูกใช้เป็น Zero-Day Exploits ในการแข่งขัน Pwn2Own Berlin 2025 โดยช่องโหว่ทั้งสองอาจนำไปสู่การเข้าถึงข้อมูลสำคัญหรือรันโค้ดอันตรายภายในหน่วยความจำได้ และมีมูลค่ารางวัลรวมจากการแข่งขันสูงถึง $100,000 โดยมีรายละเอียดดังนี้:
– CVE-2025-4918: ช่องโหว่ประเภท out-of-bounds access ที่เกิดขึ้นระหว่างการ resolve ของ Promise object ใน JavaScript ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถอ่านหรือเขียนข้อมูลในหน่วยความจำผิดตำแหน่งได้
– CVE-2025-4919: ช่องโหว่ out-of-bounds access ที่เกิดจากการ optimize ค่าทางคณิตศาสตร์ (linear sums) ซึ่งสามารถใช้หลอกขนาด index ของ array เพื่อเข้าถึงข้อมูลใน JavaScript object โดยไม่ได้รับอนุญาต
ช่องโหว่ทั้งสองส่งผลกระทบต่อ Firefox เวอร์ชันต่อไปนี้:
– Firefox เวอร์ชันก่อน 138.0.4 (รวมถึง Firefox บน Android)
– Firefox Extended Support Release (ESR) ก่อนเวอร์ชัน 128.10.1
– Firefox ESR ก่อนเวอร์ชัน 115.23.1
ผู้ที่ค้นพบและรายงานช่องโหว่คือ Edouard Bochin และ Tao Yan จาก Palo Alto Networks (CVE-2025-4918) และ Manfred Paul (CVE-2025-4919) ซึ่งแต่ละรายได้รับรางวัล $50,000 จากการแสดงผลงานในเวทีการแข่งขัน Pwn2Own และทาง Mozilla กล่าวในแถลงการณ์ว่า “แม้การโจมตีจะไม่สามารถเจาะออกจาก sandbox ได้ แต่ก็ถือว่ามีความรุนแรงเพียงพอที่ผู้ใช้งานและผู้ดูแลระบบควรดำเนินการอัปเดต Firefox ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด” โดยเฉพาะในยุคที่เบราว์เซอร์ยังคงเป็นช่องทางหลักในการแพร่กระจายมัลแวร์และเจาะระบบ
แหล่งข่าว https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html
