모질라에서 제공을 하는 브라우저인 파이어폭스에 대한 파이어폭스 77.0.1(Firefox 77.0.1) 보안 업데이트가 진행이 되었습니다. 2020 년 6월 2일에 브라우저 내 업그레이드 및 Mozilla 웹 사이트에서 직접 다운로드하여 처음 제공되었으며 자동 업데이트를 사용하는 경우 Firefox 76.0 및 76.0.1을 포함하여 이전의 모든 안정된 Firefox 웹 브라우저 버전이 새 버전으로 업그레이드되며 그리고 파이어폭스 77.0에서 파이어폭스 77.0.1 한 가지 버그를 수정된 업데이트가 진행이 되었습니다.
일단 이번 파이어폭스 77.0에서 변경이 된 점은 다음과 같습니다. 일단 새로 추가된 부분은 다음이 추가되었습니다.
about:certificate 인증서 관리
인증서에 대한 파이어폭스
Firefox 77 사용자는 브라우저에서 인증서를 관리하기 위해 브라우저에 about:certificate를 로드 할 수 있습니다. Firefox는 페이지에서 인증서를 서버와 권한으로 분리합니다. 예를 들어서 about:certificate를 주소부분에 입력을 해주면 다음과 같은 인증서 목록을 볼 수가 있으며 개별 인증서를 표시하고 내보내는 옵션이 제공됩니다.
그리고 환경 설정에서 browser.urlbar.oneOffSearches가 제거되었습니다.
Firefox는 주소 표시 줄 오버레이에 사용자가 입력을 시작할 때 열리는 검색 엔진 아이콘을 표시합니다. 사용자는 해당 검색 엔진을 사용하여 검색을 실행하기 위해서 해당 부분을 클릭할 수 있으며 기능이 필요하지 않은 사용자는 기본 설정 browser.urlbar.oneOffSearches를 사용하여 기능을 끌 수 있습니다. 그리고 해당 환경 설정이 제거되었습니다.
about:preferences#search 환경 설정 페이지의 원 클릭 검색 엔진에서 검색 엔진을 비활성화가 가능합니다. 해당 페이지에서 모든 검색 엔진을 선택 취소하면 아이콘이 완전히 제거됩니다. 추가적인 변화는 다음과 같습니다.
영국 사용자는 포켓 권장 사항도 사용할 수 있습니다. 권장 사항이 표시되지 않은 사용자는 옵션의 Firefox 새 탭 페이지에서 권장 사항을 활성화
WebRender 롤아웃은 Windows에서 계속됩니다. 이제는 중간 (<=3440x1440) 및 큰 화면 (-> 3440x1440)에서 Nvidia GPU를 실행하는 Windows 10 랩톱에서 사용할 수 있습니다.
Firefox 77은 암호 붙여 넣기 문제를 해결하기 위해 최대 길이를 초과하는 텍스트를 자르지 않음
Firefox 77은 더는 마침표가 있는 비 도메인 주소 표시 줄 항목에 연결되지 않습니다.
Mozilla, Dynamic First Party Isolation 옵션을 Firefox 77에 추가
안드로이드용 Firefox
Mozilla는 세부 정보를 제공하지 않고 다양한 안정성 및 보안 수정 사항을 표시
개발자 변경
권한 부여 또는 취소된 권한에 반응하는
새로운 permissions.onAdded 및 permissions.onRemoved 이벤트
여러 추가 기능이 콘텐츠 보안 정책 헤더를 수정할 때 CSP 헤더 개선 기능 문제를 피하고자 이제 병합
Firefox Developer Edition은 개발자 도구->페이지 검사기에서 페이지에 사용된 CSS 속성에 대한 브라우저 지원을 나열하는 호환성 패널을 제공
확장 개발자를 위한 새로운 WebExtensions API 기능
JPEG 이미지는 기본적으로 Exif 데이터를 사용하여 회전
응용 프로그램 캐시 저장소가 제거
JavaScript 디버깅 개선으로 소스를 더욱 빠르게 올리고 스테핑 할 수 있으며 메모리 사용량이 줄어듭니다.
Firefox 접근성 개선
화면 판독기 사용자는 Firefox 옵션의 응용 프로그램 목록에 액세스 가능
일부 라이브 지역에서는 이전에 JAWS 화면 판독기로 업데이트 된 텍스트를 보고하지 않으며 해당 문제는 해결
접근성 도구 사용자의 날짜·시간 입력에 더는 레이블이 빠지지 않습니다.
보안 업데이트 된 내용은 다음과 같습니다.
CVE-2020-12399: Timing attack on DSA signatures in NSS library
Description
NSS has shown timing differences when performing DSA signatures,
which was exploitable and could eventually leak private keys.
CVE-2020-12405: Use-after-free in SharedWorkerService
Description
When browsing a malicious page, a race condition in our
SharedWorkerService could occur and lead to a potentially exploitable crash.
CVE-2020-12406: JavaScript type confusion with NativeTypes
Description
Mozilla Developer Iain Ireland discovered a missing type check
during unboxed objects removal, resulting in a crash. We presume
that with enough effort that it could be exploited to run arbitrary code.
CVE-2020-12407: WebRender leaking GPU memory when using border-image CSS directive
Description
Mozilla Developer Nicolas Silva found that when using WebRender,
Firefox would under certain conditions leak arbitrary GPU memory to the visible screen.
The leaked memory content was visible to the user, but not observable from web content.
CVE-2020-12408: URL spoofing when using IP addresses
Description
When browsing a document hosted on an IP address,
an attacker could insert certain characters to flip domain and path information in the address bar.
CVE-2020-12409: URL spoofing with unicode characters
Description
When using certain blank characters in a URL,
they where incorrectly rendered as spaces instead of an encoded URL.
CVE-2020-12410: Memory safety bugs fixed in Firefox 77 and Firefox ESR 68.9
Description
Mozilla developers Tom Tung and Karl Tomlinson reported memory safety
bugs present in Firefox 76 and Firefox ESR 68.8. Some of these bugs showed evidence of memory
corruption and we presume that with enough effort some of
these could have been exploited to run arbitrary code.
CVE-2020-12411: Memory safety bugs fixed in Firefox 77
Description
Mozilla developers :Gijs (he/him), Randell Jesup reported memory safety bugs
present in Firefox 76.
Some of these bugs showed evidence of memory corruption and
we presume that with enough effort some of these could have been exploited
to run arbitrary code
이며 파이어폭스 77.0.1 에서는 다음과 같은 부분을 변경했습니다.
더욱 통제된 방식으로 더 넓은 배치를 가능하게 하는 테스트 중에 HTTPS를 통한 DNS 공급자의 자동 선택 비활성화입니다.
버그 1642723
해당 부분은 버그 1642723을 참고하시면 됩니다.
HTTPS를 통한 DNS는 Firefox에서 롤아웃되고 다른 브라우저에서도 사용할 수 있는 새로운 보안 및 개인 정보 보호 기능이며 Google과 같은 대부분의 브라우저 제조업체는 올해 HTTPS를 통한 DNS 지원을 도입할 계획이며 Microsoft는 최근 Windows 10 운영 체제에 해당 기능을 통합했습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
KB 저축은행 피싱 사이트 및 악성코드 유포중 (2) | 2020.06.18 |
---|---|
[주위]가짜 경찰청 폴-안티스파이 3.0 유포 중 (6) | 2020.06.16 |
Windows 10 KB4557957 및 KB4560960 누적 업데이트 (6) | 2020.06.11 |
Mozilla Firefox(파이어폭스) 저장된 비밀번호를 일반 텍스트 내보낼 수 있는 기능 추가 (6) | 2020.06.10 |
카카오 포토?로 위장한 피싱 사이트-i cloudsbox(아이클라우드박스) (15) | 2020.05.28 |
구글 크롬(Google Chrome) 83.0.4103.61 새로운 기능 사용 방법 (2) | 2020.05.23 |
Microsoft Edge에서 이스터 에그 서핑 게임 하는 방법 (2) | 2020.05.22 |
Windows 10(윈도우 10) KB4556799 업데이트가 설치되지 않고 오디오 문제 및 버그 (2) | 2020.05.21 |