꿈을꾸는 파랑새

모질라에서 제공하는 브라우저인 파이어폭스에 대한 제로데이 공격에 대한 보안 업데이트가 긴급 업데이트가 진행이 되었습니다.일단 파이어폭스 72.0은 2020년01월09일에 발표를 했고 2020년01월10일에 해당 제로데이트 공격에 대한 긴급 업데이트가 진행이 되었습니다.일단 파이어폭스 72.0에서 변경이 된점은 다음과 같습니다.
파이어 폭스 72 알림 요청 숨기기
많은 사이트에서 푸시 알림을 사용자 시스템에 보낼 수 있도록 사용자에게 알림 요청을 표시하고 있습니다. 사용자를 업데이트하는 방법으로 설계된이 기능은 페이지가 로드되는 순간 사용자가 요청과 상호 작용하도록 요구하는 요청을 표시하는 많은 사이트에서 악용되어 왔습니다.
이런 문제를 해결을 하기 위해서 파이어폭스에서는 해당 부분을 거절을 할수가 있도록 설정이 변경이 되었습니다.거절하기로 결정했습니다. 사용자가 알림 요청을 시작하기 전에 페이지와 상호 작용하지 않은 경우 Firefox는 팝업 프롬프트를 표시하는 대신 주소 표시 줄에 아이콘을 표시합니다.
사용자가 사이트와 상호 작용하는 경우 (예 : 페이지에서 링크 또는 단추를 클릭 한 후 알림 요청이 발생하는 경우) 일반 알림 프롬프트가 표시가 되게 설정이 변경이 되었습니다.
다른 변경된 점은 다음과 같습니다.
Firefox의 기본 제공 추적 방지 기능은 기본적으로 모든 사용자가 프라이버시를 향상시키기 위해 지문 인식 스크립트를 차단
Firefox를 사용하는 Mac 및 Linux 사용자는 이제 브라우저의 PIP 모드 를 사용 가능
Windows 관리자는 운영 체제의 인증서 저장소에서 클라이언트 인증서를로드하기 위해 (실험적) 지원을 활성화 가능 환경 설정 security.osclientcerts.autoload 를 true 로 변경을 하시면 됩니다.
더 이상 개별 도메인에서 이미지로드를 차단할 수 없습니다.
이번에 적용된 보안 업데이트 내용은 다음과 같습니다.

파이어폭스 72.0.1(Firefox 72.0.1) 제로데이 취약점 패치파이어폭스 72.0.1(Firefox 72.0.1) 제로데이 취약점 패치

CVE-2019-17015: Memory corruption in parent process during new content process
CVE-2019-17016: Bypass of @namespace CSS sanitization during pasting
CVE-2019-17017: Type Confusion in XPCVariant.cpp
CVE-2019-17018: Windows Keyboard in Private Browsing Mode may retain word suggestions
CVE-2019-17019: Python files could be inadvertently executed upon opening a download
CVE-2019-17020: Content Security Policy not applied to XSL stylesheets applied to XML documents
CVE-2019-17021: Heap address disclosure in parent process during content process initialization on Windows
CVE-2019-17022: CSS sanitization does not escape HTML tags
CVE-2019-17023: NSS may negotiate TLS 1.2 or below after a TLS 1.3 HelloRetryRequest had been sent
CVE-2019-17024: Memory safety bugs fixed in Firefox 72 and Firefox ESR 68.4
CVE-2019-17025: Memory safety bugs fixed in Firefox 72
입니다.그리고 해당 파이어폭스 72.0 으로 업데이트가 되고 나서 제로데이 같은 업데이트 내용은 다음과 같습니다.
Mozilla는 Firefox 72.0.1 및 Firefox ESR 68.4.1을 출시하여 공격자가 취약한 Firefox 버전을 실행하는 시스템에서 코드를 실행하거나 충돌을 유발할 수있는 심각하고 적극적으로 악용될수가 있는 보안 취약점입니다.해당 문제를 패치를 진행을 한것이 파이어폭스 72.0.1 입니다.
모질라의 보안 권고에 따르면 파이어 폭스 개발자들은 해당 결함을 악용하는 공격에 대한 표적 공격을 인식 해당 취약점을 악용 한 공격자는 영향을받는 시스템을 악용 가능
모질라가 수정 한 파이어 폭스와 파이어 폭스 ESR 제로 데이 결함은 Qihoo 360 ATA의 리서치 팀에 의해 보고되었습니다.
CVE-2019-11707 취약점 추적 된 유형 혼동 취약점은 웹 브라우저의 IIT (IonMonkey Just-In-Time) 컴파일러에 영향을 미치며 배열 요소 설정에 잘못된 별칭 정보가 제공 될 때 발생합니다.
해당 유형의 보안 결함으로 인해 메모리 안전성이없는 언어로 범위를 벗어난 메모리 액세스가 발생을 할수가 있으며 경우에 따라 코드 실행 또는 악용 가능한 충돌이 발생할 수 있습니다.
잠재적 인 공격자는 패치되지 않은 파이어폭스 브라우저의 사용자를 악의적으로 제작 된 웹 페이지로 리디렉션하여 유형 혼동 결함을 유발할 수 있습니다.
CVE-2019-17026
미국 사이버 보안 및 인프라 보안국 (CISA)은 공격자가이 취약점을 악용하여 영향을받는 시스템을 제어 할 수 있습니다 라는 경고를 표시 하고 사용자에게 Mozilla 보안 권고를 검토하고 보안 업데이트를 적용하도록 조언 했다고 합니다.
이번 제로데이 취야점 과 관련된 다른 정보는 없지만 모든 사용자는 Firefox 메뉴->도움말-> Firefox 정보로 이동하여 새 업데이트를 수동으로 확인하여 패치 된 파이어폭스를 설치를 하거나 파이어폭스 홈페이지에 방문해서 최신 브라우저를 다운로드 해서 설치를 해야 합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band