꿈을꾸는 파랑새

반응형

모질라에서 제공을 하는 Firefox에 대한 보안 업데이트가 진행이 되었습니다. 이번 보안 업데이트 에서는 총 13건의 보안 취약점이 정정되었습니다. 이번 취약점은 최고 등급 4건, 높음 등급 6건, Moderate 등급 3건이 취약점이 수정되었습니다. 해당 취약점에 대해 몇 가지 알아보겠습니다.
CVE-2016-9894: SkiaGL 버퍼오버플로우: 해당 취약점은 GrGLBuffer이 할당 중에서 SkiaGL 버퍼오버플로 우가 발생을 할수가 있는 문제입니다. 해당 오버플로워 악용을 할 경우에 악용 가능한 크래시가 발생을 할 경우가 발생할 수가 있는 취약점
CVE-2016-9899: Free Dom 이벤트 및 오디오 요소 관련 취약점 해당 취약점은 노드 채택 시 발생을 하는 오류로 말미암아서 DOM 이벤트를 조작하고 오디오 요소를 제거할 수가 있는 문제
CVE-2016-9895: Marquee tag를 사용한 CSP 바이패스 문제: 해당 취약점을 악용하면 이벤트 핸들러 Marquee요소는 인라인 자바 스크립트를 허용할 수 있게 되어서 콘텐츠 보안 정책(CSP)를 우회할 수가 있는 취약점
CVE-2016-9896: Use-after-free를 조작을 통한 Navigator WebVR을 활성화되는 문제(기본적으로 WebVR는 비활성화 상태)
CVE-2016-9897: libGLES에서 발생하는 메모리 손상 문제 해당 메모리 손상 때문에 livGLES내에서 다양한 배열을 한 벡터 생성자를 사용해서 WebGL함수중에서 잠재적으로 악용 가능한 손상문제가 발생할 수가 있는 문제

CVE-2016-9898: Use-After-Free를 이용해서 편집기에서 DOM 하위 트리를 조작하면 발생하는 잠재적으로 악용할 수가 있는 충돌문제 해결
CVE-2016-9900: 제한을 둔 외부 자원의 data URL을 SVG 이미지를 올릴 수 있는 문제 해당 기술을 이용하며 보안 제한을 우회 발생을 해서 SVG이미지를 올릴 때 차단해야 하는 외부 data:URL을 통해서 도메인 간 데이터 유출이 발생할 수가 있는 문제 수정
CVE-2016-9904: 악의적인 공격자가 자바 스크립트 맵을 잉 용해서 세트 타이임 공격을 할 수가 있으며 해당 공격으로 웹사이트 간에 Javascript 코드에 포함된 사용자 이름 등과 같은 정보를 유출할 수가 있는 문제입니다.
해당 파이어폭스를 사용하는 분들은 반드시 최신 버전인 Firefox 50.1로 업데이트가 이루어져야 할 것입니다. 기본적으로 자동업데이트가 돼 있어서 브라우저를 한번 닫은 후에서 시작하면 자신도 모르게 업데이트가 된다면 자동 업데이트가 설정이 된 것이고 수정으로 업데이트를 진행을 할 경우에는 도움말->Firefox 정보로 이동해서 보안 업데이트를 진행을 하시면 됩니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://rdsong.com 알송달송IT세상 2016.12.19 17:55 신고

    파폭 51.1 에서 보안취약성 많이 업데이트가 되었습니다...

    • Favicon of https://wezard4u.tistory.com Sakai 2016.12.20 14:20 신고

      저는 아직 업데이트를 진행을 하지 않아서 일단 업데이트를 해야 겠습니다.