Mozilla ออกแพตซ์เพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงระดับ critical 1 รายการ ระดับ high 2 รายการ ระดับ moderate 1 รายการ และระดับ low บน Thunderbird เวอร์ชั่น 52.5.2 โดยที่ Thunderbird นั้นเป็นโปรแกรม RSS feed (ฟีดรายงานข่าว) และโปรแกรมแชท
ซึ่งช่องโหว่ที่ Mozilla แก้ไขนั้นได้แก่
- ช่องโหว่หมายเลข CVE-2017-7845 เป็นช่องโหว่ที่มีความเสี่ยงในระดับ critical ซึ่งช่องโหว่นี้ทำให้เกิด Buffer Overflow โดยช่องโหว่นี้จะมีผลกระทบกับระบบปฏิบัติการ Windows Bug จะเกิดขึ้นเมื่อมีการใช้ Direct 3D 9 กับไลบรารี่กราฟฟิก ‘Angle’ ที่ใช้สำหรับเนื้อหาของ WebGL ทำให้มีค่าที่ไม่ถูกต้องถูกส่งผ่านไปในไลบรารี่กราฟฟิก ‘Angle’ ระหว่างที่ทำการตรวจสอบ และแสดงผลเกิดการทำงานผิดพลาด จึงเป็นเหตุที่ทำให้เกิด Buffer Overflow ซึ่งเคยมีรายงานเกี่ยวกับปัญหาที่เหมือนกันกับ ช่องโหว่หมายเลข CVE-2017-7845 มาแล้วซึ่งเกิดขึ้นในเบราเซอร์ Firefox ของ Mozilla และปัญหาดังกล่าวได้รับการแก้ไขใน Firefox 57.0.2 ซึ่งเผยแพร่ในวันที่ 7 ธันวาคม
- ช่องโหว่หมายเลข CVE-2017-7846 และ CVE-2017-7847 เป็นช่องโหว่ที่อยู่ในระดับ high เป็นช่องโหว่ที่มีผลกระทบกับ RSS feed โดยที่ ช่องโหว่หมายเลข CVE-2017-7846 เป็นช่องโหว่ที่เกิดขึ้นเมื่อมีการเปิดหน้าเว็บขึ้นมาโดยเปิดผ่าน RSS feed ของ Thunderbird ทำให้เกิด JavaScript ช่องโหว่หมายเลข CVE-2017-7847 เป็นช่องโหว่ที่ทำให้ Cascading Style Sheets ถูกสร้างขึ้นมาเป็นพิเศษ ใน RSS feed เกิดการรั่วไหล หรือเปิดเผย Path ของ String ซึ่งอาจจะรวมถึงชื่อของผู้ใช้ด้วย
- ช่องโหว่หมายเลข CVE-2017-7848 เป็นช่องโหว่ที่อยู่ในระดับ moderate ซึ่งช่องโหว่นี้สามารถแทรกบรรทัดใหม่เข้าในโครงสร้างของระบบอีเมล ทำให้ข้อความในอีเมลสามารถทำการแก้ไข ปรับเปลี่ยนได้
- ช่องโหว่หมายเลข CVE-2017-7829 เป็นช่องโหว่ที่อยู่ในระดับ low เป็นช่องโหว่ที่ทำให้ข้อมูลที่อยู่จริงของผู้ใช้ถูกเปลี่ยนไปเป็นที่อยู่อื่น ถ้าผู้ใช้ใส่ที่อยู่ด้วย null character ในการแสดงผลสตริง โดยอาจจะถูกนำไปใช้สร้างอีเมลหลอกลวงได้
ที่มา : ThreatPost, SC MEDIA
