꿈을꾸는 파랑새

모질라에서 제공을 하는 웹 브라우저인 파이어폭스에서 Firefox 50.0(파이어폭스 50.0)으로 보안 업데이트가 진행이 되었습니다. 이번 보안 업데이트 에서는 이번 버전에서는 총 27건의 보안 업데이트 및 기타 버그 수정이 이루어졌습니다. 이번 업데이트는 파이어폭스 정기 업데이트는 마지막이며 다음 정기 업데이트는 2017년1월24일에 예정이 돼 있습니다. 일단 이번 Firefox 50.0(파이어폭스 50.0)은 Windows, Mac 환경에서 Encrypted Media Extensions(EMS: 보호된 콘텐츠 재생을 제어하는 API)에 따라 WebM 포멧이 재생할 수 있어졌습니다. 그래서 더욱 많은 사이트에서 추가로 플러그인이 필요없이 동영상을 재생할 수가 있습니다. Add-on SDK 기반의 확장과 모듈 로더를 이용한 확장 기능 성능이 향상되었으며 다운로드 보호 대상이 되는 실행 가능한 파일 유형이 대폭 증가가 되어서 보안이 강화되었습니다.

그리고 이모티콘이 내장된 Windows 8 이전 또는 Linux 같은 이모티콘 글꼴이 포함되지 않은 운영체제에서도 이모티콘이 표시를 할 수가 있게 개선이 되었으며 WebGL을 지원하는 환경도 더 지원을 하고 Windows 7 이상이며 약 98% 이상 무난하게 동작을 합니다. 그리고 키보드 단축키가 업데이트가 진행이 되었습니다.

Ctrl+Tab 키에서 탭을 전환 탭 기능에서 최근에 사용한 순서대로 탭을 전환할 수가 있는 옵션이 추가되었으며 Ctrl+Alt+R 기능을 통해서 리더 모드로 전환을 할 수가 있게 되었습니다. 다시 본론으로 들어와서 총 27건의 취약점은 최고 등급 3건, 높음 등급 12건 높음 등급 3인 중간 등급은 10건, 가장 낮은 등급은 2건이 해결되었습니다. 해당 보안 업데이트 내역은 다음과 같습니다.

CVE-2016-5296:Heap-buffer-overflow WRITE in rasterize_edges_1
CVE-2016-5292: URL parsing causes crash
CVE-2016-5293: Write to arbitrary file with Mozilla Updater and Maintenance Service using updater.log hardlink
CVE-2016-5294: Arbitrary target directory for result files of update process
CVE-2016-5297: Incorrect argument length checking in JavaScript
CVE-2016-9064: Add-ons update must verify IDs match between current and new versions
CVE-2016-9065: Firefox for Android location bar spoofing using fullscreen
CVE-2016-9066: Integer overflow leading to a buffer overflow in nsScriptLoadHandler
CVE-2016-9067: heap-use-after-free in nsINode::ReplaceOrInsertBefore
CVE-2016-9068: heap-use-after-free in nsRefreshDriver
CVE-2016-9072: 64-bit NPAPI sandbox isn't enabled on fresh profile
CVE-2016-9075: WebExtensions can access the mozAddonManager API and use it to gain elevated privileges
CVE-2016-9077: Canvas filters allow feDisplacementMaps to be applied to cross-origin images, allowing timing attacks on them
CVE-2016-5291: Same-origin policy violation using local HTML file and saved shortcut file
CVE-2016-5295: Mozilla Maintenance Service: Ability to read arbitrary files as SYSTEM
CVE-2016-5298: SSL indicator can mislead the user about the real URL visited
CVE-2016-5299: Firefox AuthToken in broadcast protected with signature-level permission can be accessed by an application installed beforehand that defines the same permissions
CVE-2016-9061: API key (glocation) in broadcast protected with signature-level permission can be accessed by an application installed beforehand that defines the same permissions
CVE-2016-9062: Private browsing browser traces (Android) in browser.db and wal file(해당 취약점은 안드로이드 파이어폭스에만 적용됨)
CVE-2016-9070: Sidebar bookmark can have reference to chrome window
CVE-2016-9073: windows.create schema doesn't specify "format": "relativeUrl"
CVE-2016-9074: Insufficient timing side-channel resistance in divSpoiler
CVE-2016-9076: select dropdown menu can be used for URL bar spoofing on e10s
CVE-2016-9063: Possible integer overflow to fix inside XML_Parse in Expat
CVE-2016-9071: Probe browser history via HSTS/301 redirect + CSP
CVE-2016-5289: Memory safety bugs fixed in Firefox 50
CVE-2016-5290: Memory safety bugs fixed in Firefox 50 and Firefox ESR 45.5
입니다. 기본적으로 파이어폭스를 사용하고 계시는 분들은 안드로이드 파이어폭스는 구글 플레이에서 업데이트를 하면 되고 컴퓨터에서 수동으로 업데이틀 할 경우에는 도움말->Firefox 정보(Mozilla Firefoxについて)를 통해서 수동 업데이트를 하거나 또는 도구-. 설정->고급->업데이트 항목으로 이동해서 Firefox 업데이트 항목에서 자동으로 업데이트 설치(추천: 보안이 강화됨)로 해두면 됩니다.

728x90
반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band