모질라 에서 제공하는 브라우저인 파이어폭스 76.0(Firefox 76.0)에 대한 보안 업데이트를 진행이 되었습니다.
Firefox 76.0은 Mozilla Firefox 웹 브라우저의 최신 안정 버전이며 웹 브라우저의 릴리스 날짜는 2020년 5월5일입니다. Firefox 75.0을 포함한 이전 Firefox 안정적인 배포는 자동 갱신이 있는 시스템에서 새 버전으로 자동 업그레이드됩니다.
모든 Firefox 채널은 동시에 새 버전으로 업그레이드됩니다. Firefox 베타 및 개발자 버전의 Firefox가 77.0으로 이동하고 Firefox Nightly가 78.0으로 이동하며 Firefox ESR이 68.8로 업그레이드 되었습니다.
모바일 운영 체제용 Firefox 버전으로 곧 교체될 안드로이드 용 Firefox는 Firefox ESR 버전 관리를 따르며 68.8로 업그레이드됩니다.
Firefox의 다음 안정 릴리스인 Firefox 77.0은 2020년6월2일 릴리스로 예정되어 있습니다.
업데이트 목록
Firefox 76.0은 몇 가지 의미 있는 방식으로 내장 비밀번호 관리자를 개선
WebRender는 계속 롤아웃
Firefox 비밀번호 관리자 (Lockwise) 개선
파이어폭스 암호 관리자
Mozilla는 Firefox 76.0에서 Firefox 웹 브라우저의 내장 비밀번호 관리자를 여러 가지 방식으로 개선했습니다.
위반 경고는 자격 증명이 저장된 사이트가 위반되면 암호 관리자의 사용자에게 알림
다른 사이트에서 위반한 계정 암호를 사용하는 경우 Firefox는 보안을 유지하기 위해 해당 사이트의 암호를 업데이트하라는 메시지를 표시
인터넷에서 더 많은 사이트를 포괄하도록 암호 생성이 확장되었습니다. Firefox는 비밀번호 필드를 선택할 때 안전한 복합 비밀번호를 제안
Firefox는 비밀번호를 공개하기 전에 Windows 및 Macintosh 시스템에서 사용자 계정 비밀번호를 프롬프터 하여 마스터 비밀번호가 설정되지 않았으면 저장된 비밀번호를 로컬 스누핑으로부터 보호
다른 변화들
픽처 인 픽처 모드에는 전체 화면 모드와 기본 크기 사이를 전환하는 새로운 두 번 클릭 옵션이 있습니다.
오디오 워크 릿 지원을 통해 Firefox 사용자는 Firefox에서 직접 Zoom 통화에 참여할 수 있습니다. 추가 구성 요소를 더는 다운로드 할 필요가 없습니다.
WebRender 롤아웃은 1,920x1200보다 화면 해상도가 낮은 최신 Intel 랩톱으로 확장
주소 표시 줄의 사소한 변경 :
새 탭을 열면 주소 표시 줄 필드 그림자가 줄어듭니다.
책갈피 툴바 크기가 약간 확장되었습니다. (터치 스크린 사용자의 경우)
안드로이드용 Firefox
Mozilla는 세부 정보를 제공하지 않고 다양한 안정성 및 보안 수정 사항을 표시
개발자 변경
스타일 시트가로드 되고 지연된 스크립트가 실행
Firefox는 CSS4 시스템 색상을 지원
Firefox는 기본적으로 오디오 워크 렛을 지원
location.href와 같은 방법을 사용하여 알 수 없는 프로토콜로 이동하려는 시도가 이제 차단.
네트워크 요청 테이블에서 테이블 헤더를 두 번 클릭하면 컨텐츠 너비에 맞게 열의 크기가 조정
알려진 문제
32비트 버전의 Firefox가 네트워크 드라이브에서 실행되는 경우 오디오 재생이 작동하지 않습니다.
그리고 파이어폭스 취약점에 대한 보안 갱신이 진행되었습니다.
CVE-2020-12387: Use-after-free during worker shutdown
Description:A race condition when running shutdown code for Web Worker led to a use-after-free vulnerability. This resulted in a potentially exploitable crash.
CVE-2020-12388: Sandbox escape with improperly guarded Access Tokens
Description:The Firefox content processes did not sufficiently lockdown access control which could result in a sandbox escape.
Note: this issue only affects Firefox on Windows operating systems.
CVE-2020-12389: Sandbox escape with improperly separated process types
Description:The Firefox content processes did not sufficiently lockdown access control which could result in a sandbox escape.
Note: this issue only affects Firefox on Windows operating systems.
CVE-2020-6831: Buffer overflow in SCTP chunk input validation
Description:A buffer overflow could occur when parsing and validating SCTP chunks in WebRTC. This could have led to memory corruption and a potentially exploitable crash.
CVE-2020-12390: Incorrect serialization of nsIPrincipal.origin for IPv6 addresses
Description:Incorrect origin serialization of URLs with IPv6 addresses could lead to incorrect security checks
CVE-2020-12391: Content-Security-Policy bypass using object elements
Description:Documents formed using data: URLs in an object element failed to inherit the CSP of the creating context. This allowed the execution of scripts that should have been blocked, albeit with a unique opaque origin.
CVE-2020-12392: Arbitrary local file access with 'Copy as cURL'
The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP POST data of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in the disclosure of local files.
CVE-2020-12393: Devtools' 'Copy as cURL' feature did not fully escape website-controlled data, potentially leading to command injection
Description:The 'Copy as cURL' feature of Devtools' network tab did not properly escape the HTTP method of a request, which can be controlled by the website. If a user used the 'Copy as cURL' feature and pasted the command into a terminal, it could have resulted in command injection and arbitrary command execution.
Note: this issue only affects Firefox on Windows operating systems.
CVE-2020-12394: URL spoofing in location bar when unfocussed
Description:A logic flaw in our location bar implementation could have allowed a local attacker to spoof the current location by selecting a different origin and removing focus from the input element.
CVE-2020-12395: Memory safety bugs fixed in Firefox 76 and Firefox ESR 68.8
Description:Mozilla developers and community members Alexandru Michis, Jason Kratzer, philipp, Ted Campbell, Bas Schouten, André Bargull, and Karl Tomlinson reported memory safety bugs present in Firefox 75 and Firefox ESR 68.7. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2020-12396: Memory safety bugs fixed in Firefox 76
Description: Mozilla developers and community members Frederik Braun, Andrew McCreight, C.M.Chang, and Dan Minor reported memory safety bugs present in Firefox 75. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
입니다. 파이어폭스를 사용하고 계시는 분들은 반드시 보안 업데이트를 해서 사용을 하시는 것이 안전하게 사용을 할 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 사이버 망명으로 사용해도 좋은 보안 이메일-ProtonMail (4) | 2020.05.19 |
|---|---|
| 페이스북 모바일 메신저 로그인을 가장한 개인정보 탈취 주의 (4) | 2020.05.15 |
| Windows 10(윈도우 10) KB4556799,KB4551853 누적 업데이트 (0) | 2020.05.14 |
| Windows Defender (윈도우 디펜더) 구성 도구 프로그램-ConfigureDefender (4) | 2020.05.12 |
| 가짜 질병관리본부 사칭 피싱 사이트 악성코드 유포 (2) | 2020.05.06 |
| 개인정보 노출 문자를 가장한 안드로이드 악성코드-MplayerTv.apk (0) | 2020.05.04 |
| 특정 여성 연애인을 성적 사생활 언급하는 네이버 피싱 공격 (4) | 2020.05.01 |
| Windows 10 KB4549951 블루스크린 보고서 조사 (0) | 2020.05.01 |
