꿈을꾸는 파랑새

반응형

모질라에서 제공을 하는 파이어폭스에 대해 보안 업데이트가 진행이 되었습니다. Mozilla(모질라)는 2020년 3월 10일 오늘 버그 수정, 새로운 기능 및 보안 수정으로 Windows, macOS 및 Linux 용 Stable 데스크톱 채널에 Firefox 74를 출시했습니다.
해당 보안 업데이트에서는 새로운 업데이트는 다음과 같습니다. Facebook 컨테이너(Facebook container), 사이드로드 추가 기능 차단 및 TLS 1.0 및 1.1 인증서 지원 비활성화와 같은 새로운 기능이 포함되어 있습니다. Windows, Mac 및 Linux 데스크톱 사용자는 옵션->도움말->Firefox 정보로 이동하여 Firefox 74.0으로 업그레이드 할 수 있으며 브라우저는 자동으로 새 갱신을 확인하고 사용 가능한 경우 설치 가능합니다.
사용자가 Firefox 74를 처음 시작하면 Facebook 컨테이너를 설치할 것인지 묻는 새 화면이 나타납니다. 물론 저 같은 경우에는 이메일을 통해서 알게 되었습니다. 이번 Facebook 컨테이너가 설치되면 모든 Facebook 세션이 격리되어 다른 사이트 간의 활동을 더는 추적 할 수 없습니다. 조금 더 보안이 강화되는 경우가 됩니다. 그리고 Firefox 74부터는 외부 응용 프로그램을 통해 추가 기능을 설치할 수 없습니다. 즉 악성 프로그램은 오랫동안 사용자 모르게 원치 않는 추가 기능이나 확장 프로그램을 설치해 왔고 변경으로 멀웨어 개발자는 더는 애드웨어 번들 또는 기타 설치 프로그램을 통해 악성 확장을 설치할 수 없습니다.
이번에 바뀌는 내용은 부가 기능과 관련된 새로운 Firefox 74 변경 사항은 다음과 같습니다.
Firefox 74부터 사용자는 원하는 확장을 설치하기 위해 명시적인 조처를 해야 하며 원할 때 이전에 로드된 확장을 제거 가능

파이어폭스 74.0(Firefox 74) 보안 업데이트

파이어폭스 74.0(Firefox 74) 보안 업데이트사용자가 Firefox 74로 업데이트 할 때 이전에 설치된 사이드로드 확장 프로그램은 제거되지 않고 사용자가 더는 사이드로드 된 확장 기능을 원하지 않으면 확장 프로그램 자체를 제거해야 합니다.
Firefox는 새로운 확장이 사이드로드되는 것을 방지
개발자는 이전에 사이드로드 된 확장 프로그램으로 업데이트를 푸시 할 수 있습니다. (사이드로드 확장 프로그램의 개발자이고 현재 웹 사이트 또는 AMO를 통해 확장을 배포하는 경우 사이드로드 확장 및 분산 확장을 별도로 업데이트해야합니다.) 
TLS 1.0, TLS 1.1 지원은 이제 기본적으로 비활성화되어 있습니다. 즉 이제는 오래된 TLS 1.0, TLS 1.1은 파이어폭스에서는 더는 사용을 할 수가 없습니다. 그리고 더욱 안전한 TLS 1.2, TLS 1.3 프로토콜을 사용할 수 있게 되면 Mozilla는 기본적으로 TLS 1.0, TLS 1.1 인증서에 대한 지원을 비활성화합니다. 그리고 사용자가 이전 TLS 1.0 1.1 인증서를 사용하여 페이지를 방문하면 Firefox(파이어폭스)는 해당 웹 사이트 연결에 대해 TLS 1.0 및 1.1 사용을 허용하는 무시 단추를 표시합니다.

Facebook 컨테이너(Facebook container)

Firefox 74는 새로운 기능 외에도 다양한 개선 사항과 버그 수정은 다음과 같습니다.
로그인 및 비밀번호 아래에서 액세스 할 수 있는 Lockwise의 알파 정렬을 뒤집는 기능으로 로그인 관리가 향상
Firefox는 이제 Windows 및 Mac의 새로운 Microsoft Edge 브라우저에서 북마크 및 기록을 간단하게 가져올 수 있습니다.
Firefox는 특정 WebRTC 시나리오에서 컴퓨터의 IP 주소를 임의의 ID로 클로킹하여 mDNS ICE 지원을 통해 웹 음성 및 화상 통화에 대한 개인 정보 보호 기능을 향상
고정 탭이 손실되는 등의 문제가 해결
Instagram에 여러 장의 사진이 포함된 비디오를 업로드하면 Picture-in-Picture 토글이 다음 버튼 위에 있습니다. 토글이 이동하여 배치의 다음 이미지로 넘길 수 있습니다.
Windows에서는 이제 책갈피 사이드 바를 열지 않고 Ctrl+I를 사용하여 페이지 정보 창을 열 수 있으며 Ctrl+B는 여전히 책갈피 사이드 바를 열어 사용자에게 키보드 단축키를 더 유용하게 사용할 수가 있습니다.

Facebook 컨테이너(Facebook container) 무력화

Firefox의 디버그는 Nested Web Workers 디버깅 지원을 추가하여 중단 점으로 실행을 일시 중지하고 단계별로 실행할 수 있습니다.
Firefox는 새로운 JavaScript 옵션 체인 연산자 ( ?. ) 및 CSS text-underline-position에 대한 지원을 추가
그리고 이번 보안 취약점은 다음을 수정했습니다.
CVE-2020-6805: Use-after-free when removing data about origins
Description:When removing data about an origin whose tab was recently closed, a use-after-free could occur in the Quota manager, resulting in a potentially exploitable crash.
CVE-2020-6806: BodyStream::OnInputStreamReady was missing protections against state confusion
Description:By carefully crafting promise resolutions, it was possible to cause an out-of-bounds read off the end of an array resized during script execution. This could have led to memory corruption and a potentially exploitable crash.
CVE-2020-6807: Use-after-free in cubeb during stream destruction
Description:When a device was changed while a stream was about to be destroyed, the stream-reinit task may have been executed after the stream was destroyed, causing a use-after-free and a potentially exploitable crash.
CVE-2020-6808: URL Spoofing via javascript: URL
When a JavaScript URL (javascript:) is evaluated and the result is a string, this string is parsed to create an HTML document, which is then presented. Previously, this document's URL (as reported by the document.location property, for example) was the originating javascript: URL which could lead to spoofing attacks; it is now correctly the URL of the originating document.
CVE-2020-6809: Web Extensions with the all-urls permission could access local files
Description:When a Web Extension had the all-urls permission and made a fetch request with a mode set to 'same-origin', it was possible for the Web Extension to read local files.
CVE-2020-6810: Focusing a popup while in fullscreen could have obscured the fullscreen notification
Description:After a website had entered fullscreen mode, it could have used a previously opened popup to obscure the notification that indicates the browser is in fullscreen mode. Combined with spoofing the browser chrome, this could have led to confusing the user about the current origin of the page and credential theft or other attacks.
CVE-2020-6811: Devtools' 'Copy as cURL' feature did not fully escape website-controlled data, potentially leading to command injection
Description:The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP method of a request, which can be controlled by the website. If a user used the 'Copy as Curl' feature and pasted the command into a terminal, it could have resulted in command injection and arbitrary command execution.
CVE-2019-20503: Out of bounds reads in sctp_load_addresses_from_init
Description:The inputs to sctp_load_addresses_from_init are verified by sctp_arethere_unrecognized_parameters; however, the two functions handled parameter bounds differently, resulting in out of bounds reads when parameters are partially outside a chunk.
CVE-2020-6812: The names of AirPods with personally identifiable information were exposed to websites with camera or microphone permission
Description:The first time AirPods are connected to an iPhone, they become named after the user's name by default (e.g. Jane Doe's AirPods.) Websites with camera or microphone permission are able to enumerate device names, disclosing the user's name. To resolve this issue, Firefox added a special case that renames devices containing the substring 'AirPods' to simply 'AirPods'.
CVE-2020-6813: @import statements in CSS could bypass the Content Security Policy nonce feature
Description:When protecting CSS blocks with the nonce feature of Content Security Policy, the @import statement in the CSS block could allow an attacker to inject arbitrary styles, bypassing the intent of the Content Security Policy.
CVE-2020-6814: Memory safety bugs fixed in Firefox 74 and Firefox ESR 68.6
Description:Mozilla developers Byron Campen, Jason Kratzer, and Christian Holler reported memory safety bugs present in Firefox 73 and Firefox ESR 68.5. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
Memory safety bugs fixed in Firefox 74 and Firefox ESR 68.6
CVE-2020-6815: Memory and script safety bugs fixed in Firefox 74
Description:Mozilla developers Jason Kratzer, Boris Zbarsky, Tyson Smith, and Alexandru Michis reported memory safety and script safety bugs present in Firefox 73. Some of these bugs showed evidence of memory corruption or escalation of privilege and we presume that with enough effort some of these could have been exploited to run arbitrary code.
입니다. 일단 파이어폭스를 사용하시는 분들은 해당 프로그램을 업데이트를 진행을 하시면 됩니다.

반응형

댓글

비밀글모드

  1. 파이어폭스를 사용하시는 분들에게
    도움이 되겠어요..^^
    2020.03.13 01:40 신고
    • 저도 그렇게 생각을 합니다.
      2020.03.13 20:14 신고
  2. 보안 업데이트 정보 잘 보고 갑니다 힘들지만 불금이라 기분 전환하시면 어떨까 싶네요
    2020.03.13 06:48 신고
    • 방문 해주셔서 감사합니다.
      2020.03.13 20:14 신고
  3. 건강한 금요일 되시기 바랍니다.^^
    2020.03.13 10:23 신고
  4. 보안은 늘 신경쓰는 걸로...@_@
    2020.03.13 12:09 신고
    • 항상 새로운 업데이트가 나오면 미리 업데이트를 하시는것이 제일 좋은 방법중 하나죠.
      2020.03.13 20:16 신고