2/11/2556

Firefox บล็อก ปลั๊กอินทุกตัว ยกเว้น แฟลช เวอร์ชั่นล่าสุด

มอสซิลล่า (Mozilla) กำลังจัดการกับปัญหาการถูกโจมตีที่เกิดขึ้นจากการดาวน์โหลดคอนเท็นต์อันตราย บนเว็บด้วยการพัฒนาเครื่องมือยับยั้งไว้ที่ดีฟอลต์การทำงานของโปรแกรมเลย โดยจะมีการยับยั้งการทำงานของปลั๊กอินทุกตัวในบราวเซอร์ Firefox ยกเว้นแฟลช (Flash) เวอร์ชันล่าสุด
http://www.arip.co.th/images/news/firefox/firefox-blocks-all-plug-ins-to-stop-downloading-attack-with-Click-to-Play-feature.jpg
คุณสมบัติ Click to Play ที่เพิ่งออกมาพร้อมกับ Firefox เร็วๆ นี้ จะทำหน้าที่ควบคุมการเปิดปิดปลั๊กอิน เมื่อเว็บไซต์ร้องขอให้โหลดปลั๊กอินดังกล่าว แม้ว่าปลั๊กอินเหล่านั้นจะเป็น ได้รับการยอมรับอย่างถูกต้อง และมีการใช้งานบนเว็บไซต์ทั่วโลกก็ตาม ไม่ว่าจะเป็น แฟลช ซิลเวอร์ไลท์ (silverlight) หรือจาวา (Java) เนื่องจากระยะหลังผู้บุกรุกมักจะใช้ช่องโหว่ที่พบในปลั๊กอินเหล่านี้ โดยเฉพาะเวอร์ชันที่ยังไม่ได้รับการแก้ไขข้อบกพร่องในการทำงานบ่อยขึ้น ซึ่งทำให้แฮคเกอร์สามารถเจาะเข้าไปควบคุมระบบการทำงานบนคอมพิวเตอร์ของ เหยื่อได้เป็นจำนวนมาก สิ่งที่จะเกิดขึ้นกับการตัดสินใจดังกล่าว แทนที่บราวเซอร์ Firefox จะโหลดปลั๊กอินใดๆ ที่ถูกเรียกโดยเว็บไซต์ที่เข้าไปเยี่ยมชมโดยอัตโนมัติ ผู้ใช้ Firefox จำเป็นต้องคลิกอนุญาตให้ปลั๊กอินนั้นๆ ทำงาน หรือคอนฟิกผ่าน Click to Play ให้ยอมรันปลั๊กอินเฉพาะบางเว็บไซต์ที่ต้องการโดยอัตโนมัติ


คุณสมบัติ การควบคุมการทำงานของปลั๊กอินด้วย Click to Play เป็นมาตรการการตอบโต้การโจมตีเว็บที่เกิดขึ้นจากการใช้ซอฟต์แวร์เวอร์ชันที่ มีช่องโหว่ แล้วยังไม่ได้รับการแพตช์อย่าง Flash และ Java แผนการยับยั้งแบบสุดโต่งนี้จะเป็นการบังคับให้ปลั๊กอินทุกตัวที่ถูกเรียกโดย เว็บไซต์ต่างๆ ไม่สามารถรันได้โดยอัตโนมัติ ยกเว้น Flash เวอร์ชันปัจจุบันที่สามารถรันได้โดยไม่ถูก Click to Play ยับยั้งแต่อย่างใด สำหรับปลั๊กอินที่ Click to Play บล็อคการทำงานทันทีที่พบว่ามีการร้องขอโดยบราวเซอร์ ส่วนใหญ่จะเป็นปลั๊กอินที่มีความเสี่ยงต่อการถูกโจมตีในขณะนี้ Click to Play เป็นคุณสมบัติการทำงานที่มอสซิลล่าเพิ่มเข้ามาตั้งแต่ปลายปีที่แล้ว ด้วยวัตถุประสงค์ เพื่อต้องการให้ผู้ใช้สามารถป้องกันตัวเองจากการถูกโจมตีโดยช่องโหว่ที่พบใน Java และยังไม่ได้รับการแก้ไข แต่มีการนำไปใช้ในการโจมตีแล้ว (เรียกว่า Zero-day flaw) ซึ่งการบล็อคปลั๊กอินเหล่านี้ตั้งแต่ก่อนที่่มันจะทำงานจะช่วยลดความเสี่ยง ในการถูกโจมตีเนื่องจากการโหลดโค้ดอันตรายบนหน้าเว็บต่างๆ ได้นั่นเอง

0 ความคิดเห็น:

แสดงความคิดเห็น