파이어폭스 52.0(Firefox 52.0) 취약점 보안 업데이트 및 NPAPI 플러그인 중단

꿈을꾸는 파랑새

오늘은 모질라에서 제공을 하는 파이어폭스에 대해 총 28건의 보안 업데이트를 진행이 되었습니다. 심각도 내용은 모질라 기준 4단계 중 가장 높은 최고 등급
7건, 2번째 높은 단계 4건, 3번째로 높은 단계 11건, 최소 낮은 단계 6건입니다.

일단 이번 버전인 파이어폭스 52.0(Firefox 52.0)에서는 새로운 연장 지원버전(ESR)이 기반이 되는 버전에서 터치스크린을 활성화된 WebAssembly을 지원을 되고 있습니다.
WebAssembly는 웹 브라우저에서 실행 가능 한 바이너리 형식 Microsoft, Google,Mozilla,Apple등이 공동으로 개발에 참여하는 웹 표준 플러그인으로 웹 표준에서 특정 플러그인을 사용하지 않고 프로그램을 네이티브 실행하는 것이 가능하며 해당 부분이 적용되며 다양한 응용프로그램과 게임을 브라우저에서 안전하게 빠르게 세계 어디서나 즐길 수가 있게 됩니다.
그리고 Adobe Flash Player를 제외한 NPAPI 플러그인 지원을 중단을 시작했습니다.

예를 들어서 Silverlight,Java,Acrobat 플러그인 Firefox에서 더는 사용을 하지 못하게 됩니다. 또한, Firefox에서는 Windows XP, Windows Vista 지원도 중단됩니다. 즉 플러그인 쪽으로 가보면 빠진 게 있나요? 어떤 플러그인은 Firefox에서 더는 지원하지 않습니다.(Firefox によるサポートが終了したブラグンは表示されません)볼수가 있을 것입니다.

이번에 해결이 된 보안 취약점 28건의 내용은 다음과 같습니다.

CVE-2017-5400: asm.js JIT-spray bypass of ASLR and DEP
CVE-2017-5401: Memory Corruption when handling ErrorResult
CVE-2017-5402: Use-after-free working with events in FontFace objects
CVE-2017-5403: Use-after-free using addRange to add range to an incorrect root object
CVE-2017-5404: Use-after-free working with ranges in selections
CVE-2017-5406: Segmentation fault in Skia with canvas operations
CVE-2017-5407: Pixel and history stealing via floating-point timing side channel with SVG filters
CVE-2017-5410: Memory corruption during JavaScript garbage collection incremental sweeping
CVE-2017-5411: Use-after-free in Buffer Storage in libGLES
CVE-2017-5409: File deletion via callback parameter in Mozilla Windows Updater and Maintenance Service
CVE-2017-5408: Cross-origin reading of video captions in violation of CORS
CVE-2017-5412: Buffer overflow read in SVG filters
CVE-2017-5413: Segmentation fault during bidirectional operations
CVE-2017-5414: File picker can choose incorrect default directory
CVE-2017-5415: Addressbar spoofing through blob URL
CVE-2017-5416: Null dereference crash in HttpChannel
CVE-2017-5417: Addressbar spoofing by draging and dropping URLs
CVE-2017-5425: Overly permissive Gecko Media Plugin sandbox regular expression access
CVE-2017-5426: Gecko Media Plugin sandbox is not started if seccomp-bpf filter is running
CVE-2017-5427: Non-existent chrome.manifest file loaded during startup
CVE-2017-5418: Out of bounds read when parsing HTTP digest authorization responses
CVE-2017-5419: Repeated authentication prompts lead to DOS attack
CVE-2017-5420: Javascript: URLs can obfuscate addressbar location
CVE-2017-5405: FTP response codes can cause use of uninitialized values for ports
CVE-2017-5421: Print preview spoofing
CVE-2017-5422: DOS attack by using view-source: protocol repeatedly in one hyperlink
CVE-2017-5399: Memory safety bugs fixed in Firefox 52
CVE-2017-5398: Memory safety bugs fixed in Firefox 52 and Firefo

그리고 연장 지원 버전인 Firefox ESR의 지원은 계속될 예정으로 Windows XP, Windows Vista에서 Firefox를 사용하지 않는 경우 자동으로 Firefox ESR로 전환이 됩니다.그리고 기능면에서는 탐색 탭의 URL을 다른 단말기로 전송하는 기능이 탑재된 곳었으며 이 기능을 통해서 동기화 기능 Firefox Sync를 이용하여 실현되고 있으며 Firefox Sync 로그인이 필요합니다.
그리고 다운로드 관련 사용자 인터페이스 부분도 개선되었으며 파이어폭스 52에서 내려받기에서 실패할 때 도구 모음에 표시가 표시되게 했고 풀다운 메뉴에서 엑세스 할 수가 있는 다운로드 기록횟수가 기존 3개에서 5개로 늘어나게 되고 취소 버튼과 재시작 버튼도 더 커졌습니다.

그리고 Windows 버전에서는 타사 키보드 레이아웃의 텍스트 입력을 개선했으며 Direct 2D를 사용하지 않는 경우 콘텐츠 랜더링에 Skia 라이브러리가 이용 가능해졌습니다.
또한, 보안면에서도 다양한 부분이 개선이 작업이 이루어졌습니다. 예를 들어 HTTPS 연결이 아닌 로그인 폼에서 경고가 표시할 수 있게 되었으며 사용자 이름 및 암호 필드를 클릭하면 이 연결은 안전하지 않습니다. 라는 메시지를 통해서 사용자의 주의를 환기시켜줍니다. 그 이외에도 보안 Cookie의 사양이 엄격해지는 등 변경이 되었습니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.03.09 08:23 신고

    참고 할께요~~ 오늘도 잘 보내세요