모질라 파이어폭스 재단에서 제공하는 브라우저인 파이어폭스에 대한 보안 업데이트 및 기능 갱신이 진행되었습니다. 이번 업데이트는 지능형 교차 사이트 추적 차단 기술의 다음 버전인 SmartBlock 2.0을 출시했으며 Firefox 87에 도입 메커니즘 추적 보호 은 추적 스크립트를 차단할 때 기능과 엄격 모드가 웹사이트를 손상하지 않도록 합니다. Mozilla는 SmartBlock 2.0은 타사 Facebook 로그인 버튼을 사용하여 웹사이트에 로그인할 수 있도록 함으로써 뛰어난 웹 브라우징 경험과 강력한 개인 정보 보호 기능을 결합하는 동시에 사이트 간 추적에 대한 강력한 방어 기능을 제공하면 그리고 Facebook 계정으로 로그인하려는 모든 사이트에 같은 처리가 적용됩니다.
Face book에서 추적에 사용하는 모든 스크립트는 자동으로 차단되지만, 로그인 스크립트는 로드할 수 있으므로 로그인 프로세스가 계속 작동을 합니다.about:third-party 명령어를 통해서 Mozilla 또는 Microsoft에서 서명하지 않은 모든 타사 모듈을 확인할 수가 있습니다. 각각 모듈에 나오는 정보는 다음과 같습니다.
Firefox는 각 모듈에 대해 다음 정보를 표시합니다.
파일 이름
파일 버전
공급업체 정보
Occurences
평균 차단 시간
프로세스 ID
로드 지속 시간
상태
를 확인을 할 수가 있습니다.
이번에 파이어폭스 90 버전에서 변경이 되는 내용은 다음과 같습니다.
기타 변경 사항
FTP 지원이 제거 FTP 링크를 로드하거나 주소 표시 줄에 ftp 링크를 직접 입력하려고 하면 Firefox 90에서 프로토콜에 대한 처리기를 선택하라는 메시지가 표시
PDF로 인쇄는 Firefox 90에서 작동하는 하이퍼링크를 만드는 것을 제공 PDF 문서를 여는 사용자는 링크를 활성화하여 연결된 리소스를 열 수 있음
SmartBlock 버전 2.0은 기본적으로 Facebook 스크립트를 차단하지만, 사용자가 Facebook 로그인을 선택하는 경우와 같이 필요할 때 로드하여 개인 정보를 개선
새 탭에서 이미지 열기는 이제 배경 탭에서 미디어를 로드
하드웨어 가속 WebRender가 없는 대부분의 Firefox 설치는 이제 소프트웨어 WebRender를 사용
소프트웨어 WebRender 성능이 향상
엔터프라이즈: 이제 AutoLaunchProtocolsFromOrigins 정책을 사용
사용자에게 묻지 않고 나열된 출처에서 사용할 수 있는 외부 프로토콜 목록을 정의
엔터프라이즈: BackgroundAppUpdate 정책은 Windows의 백그라운드 업데이트 기능을 제어
그리고 이번에 보안 업데이트 된 항목은 다음과 같습니다.
CVE-2021-29970: Use-after-free in accessibility features of a document
Description:A malicious webpage could have triggered a use-after-free, memory corruption, and a potentially exploitable crash.
This bug only affected Firefox when accessibility was enabled.
CVE-2021-29971: Granted permissions only compared host; omitting scheme and port on Android
Description:If a user had granted a permission to a webpage and saved that grant, any webpage running on the same host - irrespective of scheme or port - would be granted that permission.
This bug only affects Firefox for Android. Other operating systems are unaffected.
CVE-2021-30547: Out of bounds write in ANGLE
Description:An out of bounds write in ANGLE could have allowed an attacker to corrupt memory leading to a potentially exploitable crash.
CVE-2021-29972: Use of out-of-date library included use-after-free vulnerability
Description:A user-after-free vulnerability was found via testing, and traced to an out-of-date Cairo library. Updating the library resolved the issue, and may have remediated other, unknown security vulnerabilities as well.
CVE-2021-29973: Password autofill on HTTP websites was enabled without user interaction on Android
Description:Password autofill was enabled without user interaction on insecure websites on Firefox for Android. This was corrected to require user interaction with the page before a user's password would be entered by the browser's autofill functionality.
This bug only affects Firefox for Android. Other operating systems are unaffected.
CVE-2021-29974: HSTS errors could be overridden when network partitioning was enabled
Description:When network partitioning was enabled, e.g. as a result of Enhanced Tracking Protection settings, a TLS error page would allow the user to override an error on a domain which had specified HTTP Strict Transport Security (which implies that the error should not be override-able.) This issue did not affect the network connections, and they were correctly upgraded to HTTPS automatically.
CVE-2021-29975: Text message could be overlaid on top of another website
Description:Through a series of DOM manipulations, a message, over which the attacker had control of the text but not HTML or formatting, could be overlaid on top of another domain (with the new domain correctly shown in the address bar) resulting in possible user confusion.
CVE-2021-29976: Memory safety bugs fixed in Firefox 90 and Firefox
Description:Mozilla developers Emil Ghitta, Tyson Smith, Valentin Gosu, Olli Pettay, and Randell Jesup reported memory safety bugs present in Firefox 89 and Firefox ESR 78.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2021-29977: Memory safety bugs fixed in Firefox 90
Description:Mozilla developers Andrew McCreight, Tyson Smith, Christian Holler, and Gabriele Svelto reported memory safety bugs present in Firefox 89. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스를 사용하고 계시는 분들은 해당 보안 업데이트를 진행을 하시면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 안드로이드 몸캠 피싱 악성코드-동영상.apk(2021.7.24) (6) | 2021.07.27 |
|---|---|
| Minecraft Java Edition(마인크래프트 자바 에디션)에서 디렉터리 탐색에 CVE-2021-35054 취약점 발견 (3) | 2021.07.21 |
| 윈도우 원격 인쇄 서버를 악용한 새로운 인쇄 스풀러 제로 데이 공격 예방 방법 (0) | 2021.07.20 |
| 윈도우 10 KB5004237,KB5004245 보안 업데이트 (0) | 2021.07.15 |
| 검진모아 사칭 스미싱 악성코드 검진모아.apk(2021.7.13) (2) | 2021.07.15 |
| 안드로이드 스마트폰 랜섬웨어-Butewoorse Hacker (4) | 2021.07.13 |
| 윈도우 KB5004945 보안 업데이트 Zebra 프린터에서 인쇄 오류 (0) | 2021.07.09 |
| 토르 브라우저(Tor Browser) 새로운 검열 방지 기능 바위 산 추가 (4) | 2021.07.09 |
