ចំណុចខ្សោយច្រើននៅក្នុង Firefox 152 អាចឱ្យមានការវាយលុកប្រតិបត្តិកូដពីចម្ងាយ

Mozilla បានចេញផ្សាយ Firefox 152 ដើម្បីដោះស្រាយភាពងាយរងគ្រោះធ្ងន់ធ្ងរជាច្រើន ដែលអាចអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ (RCE) និងការវាយប្រហារគេចចេញពីប្រអប់ខ្សាច់។

ការណែនាំសុវត្ថិភាព ដែលបានចេញផ្សាយនៅថ្ងៃទី 16 ខែមិថុនា ឆ្នាំ 2026 បានបង្ហាញពីចំណុចខ្វះខាតជាច្រើនដែលប៉ះពាល់ដល់សមាសធាតុកម្មវិធីរុករកស្នូល និងសង្កត់ធ្ងន់លើភាពបន្ទាន់សម្រាប់អ្នកប្រើប្រាស់ក្នុងការធ្វើបច្ចុប្បន្នភាពភ្លាមៗ។

ចំណុចខ្សោយជាច្រើនដែលត្រូវបានជួសជុលត្រូវបានចាត់ថ្នាក់ជាផលប៉ះពាល់ខ្ពស់ ដែលភាគច្រើនពាក់ព័ន្ធនឹងបញ្ហាសុវត្ថិភាពអង្គចងចាំ កំហុសដែលប្រើប្រាស់បន្ទាប់ពីគ្មានការប្រើប្រាស់ និងចំណុចខ្សោយនៃការកើនឡើងសិទ្ធិ។

ចំណុចខ្សោយទាំងនេះអាចត្រូវបានវាយប្រហារដោយអ្នកវាយប្រហារតាមរយៈខ្លឹមសារគេហទំព័រដែលបង្កើតឡើងជាពិសេស ដែលអាចអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដដោយបំពានលើប្រព័ន្ធដែលរងផលប៉ះពាល់។

ចំណុចខ្សោយច្រើននៅក្នុង Firefox 152

ចំណុចខ្សោយដែលមានហានិភ័យខ្ពស់គួរឱ្យកត់សម្គាល់រួមមាន៖

CVE-2026-12289: ចំណុចខ្សោយនៃការកើនឡើងសិទ្ធិនៅក្នុងសមាសធាតុ WebRender ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើកម្រិតខ្ពស់។

CVE-2026-12291: ចំណុចខ្សោយនៃការប្រើប្រាស់បន្ទាប់ពីគ្មានការប្រើប្រាស់នៅក្នុងសមាសធាតុបណ្តាញ HTTP ដែលនាំឱ្យមានការខូចខាតអង្គចងចាំ។

CVE-2026-12293: បញ្ហា use-after-free នៅក្នុងសមាសភាគ WebGPU ដែលអាចទាញយកប្រយោជន៍សម្រាប់ការប្រតិបត្តិកូដ។

CVE-2026-12294 ដល់ CVE-2026-12297: ភាពងាយរងគ្រោះនៃការគេចចេញពី sandbox ច្រើនដែលប៉ះពាល់ដល់យន្តការ sandbox របស់ DOM Workers, Navigation និង process។

CVE-2026-12299: កំហុសក្នុងការចងក្រង JIT នៅក្នុងសមាសភាគ DOM និង HTML ដែលអាចបណ្តាលឱ្យមានឥរិយាបថប្រតិបត្តិដែលមិនអាចទាយទុកជាមុនបាន។

លើសពីនេះ Mozilla បានរាយការណ៍ពីកំហុសសុវត្ថិភាពអង្គចងចាំជាច្រើន (ឧទាហរណ៍ CVE-2026-12290, CVE-2026-12298, CVE-2026-12326, CVE-2026-12328) ដែលបង្ហាញពីការខូចខាតអង្គចងចាំ។

គុណវិបត្តិបែបនេះមានគ្រោះថ្នាក់ជាពិសេស ពីព្រោះអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចពួកគេដើម្បីប្រតិបត្តិកូដតាមអំពើចិត្តពីចម្ងាយ។ វត្តមាននៃភាពងាយរងគ្រោះនៃការគេចចេញពី sandbox ច្រើនបង្កើនផ្ទៃវាយប្រហារយ៉ាងខ្លាំង។

នៅក្នុងខ្សែសង្វាក់នៃការកេងប្រវ័ញ្ចធម្មតាមួយ អ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចកំហុសឆ្គងនៃអង្គចងចាំជាមុនសិន ដើម្បីទទួលបានការអនុវត្តកូដនៅក្នុងកម្មវិធីរុករក បន្ទាប់មកប្រើភាពងាយរងគ្រោះនៃការគេចចេញពីប្រអប់ខ្សាច់ ដើម្បីបំបែកចេញពីព្រំដែនសុវត្ថិភាពរបស់កម្មវិធីរុករក និងធ្វើឱ្យប្រព័ន្ធមូលដ្ឋានចុះខ្សោយ។

ឧទាហរណ៍ ការរួមបញ្ចូលគ្នារវាង CVE-2026-12291 (use-after-free) ជាមួយ CVE-2026-12294 (sandbox escape នៅក្នុង DOM Workers) អាចបើកការសម្របសម្រួលពេញលេញពីកម្មវិធីរុករកទៅប្រព័ន្ធ។

បន្ថែមពីលើកំហុសឆ្គងដែលមានហានិភ័យខ្ពស់ Mozilla បានដោះស្រាយភាពងាយរងគ្រោះកម្រិតមធ្យម និងកម្រិតទាបជាច្រើន រួមទាំងការរំលងគោលនយោបាយប្រភពដើមដូចគ្នា (CVE-2026-12304) ដែលប៉ះពាល់ដល់ការគ្រប់គ្រងខូឃី។

បញ្ហាការបង្ហាញព័ត៌មាននៅក្នុងសមាសធាតុ WebGPU និង Password Manager ភាពងាយរងគ្រោះនៃការរំលងការកាត់បន្ថយច្រើននៅក្នុងយន្តការសុវត្ថិភាព DOM។

បញ្ហា Denial-of-service (DoS) នៅក្នុងការចាក់មេឌៀ និងសមាសធាតុក្រាហ្វិក។ កំហុសឆ្គងសុវត្ថិភាពអង្គចងចាំជាច្រើននៅទូទាំងម៉ូឌុលផ្សេងៗ។

ខណៈពេលដែលបញ្ហាទាំងនេះមិនសូវធ្ងន់ធ្ងរជាលក្ខណៈបុគ្គល ពួកគេនៅតែអាចត្រូវបានចងភ្ជាប់ជាមួយនឹងភាពងាយរងគ្រោះផ្សេងទៀត ដើម្បីបង្កើនប្រសិទ្ធភាពនៃការវាយប្រហារ។

យោងតាមការណែនាំ MFSA 2026-57 ក្រុមហ៊ុន Mozilla បានជួសជុលចំណុចខ្សោយទាំងនេះនៅក្នុង Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37 និង Thunderbird 152 ខណៈដែលកំណែចាស់ៗនៅតែងាយរងគ្រោះ។

អ្នកប្រើប្រាស់ និងអង្គការនានាគួរតែធ្វើបច្ចុប្បន្នភាព Firefox ទៅកំណែ 152 ឬក្រោយនេះ អនុវត្តការអាប់ដេត ESR ចុងក្រោយបំផុត បើកការអាប់ដេតដោយស្វ័យប្រវត្តិ និងតាមដានប្រព័ន្ធសម្រាប់សញ្ញានៃសកម្មភាពកម្មវិធីរុករកដែលគួរឱ្យសង្ស័យ ឬការប៉ុនប៉ងកេងប្រវ័ញ្ច។

ការអាប់ដេត Firefox 152 ដោះស្រាយចំណុចខ្សោយសំខាន់ៗមួយចំនួន ដែលភាគច្រើនអាចត្រូវបានចងភ្ជាប់ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយ និងការសម្របសម្រួលប្រព័ន្ធពេញលេញ។