꿈을꾸는 파랑새

모질라 에서 만들어서 배포하는 브라우저인 파이어폭스에 대한 파이어폭스(Firefox 93.0) 보안 업데이트가 진행이 되었습니다. 정식 버전뿐만 아니라 다른 버전인 파이어폭스 베타, 파이어폭스 개발자, 파이어폭스 카나리아 등은 각각 파이어폭스 94, 파이어폭스 95로 업데이트가 되었으면 안드로이드 스마트폰 사용자용 파이어폭스는 93 버전으로 업데이트가 되었습니다. 그리고 마지막 Firefox 78. x ESR 버전을 발표했으며 모질라는 지난 8월 파이어폭스 91.0 ESR을 출시했으며 다음 달 파이어폭스 94.0이 출시되면 유일하게 지원되는 ESR 채널이 됩니다.
일단 업데이트 는 기본적으로 자동 업데이트로 진행이 되면 알아서 업데이트가 될 것입니다. 여기서 수동으로 업데이트를 설치를 하고 싶은 분들은 도움말->파이어폭스 정보를 통해서 수동으로 업데이트를 진행을 할 수가 있습니다.
아니면 파이어폭스 공식 사이트에서 수동으로 파일을 직접 다운로드 받아서 사용을 할 수가 있습니다.

이번에 달라지는 내용은 다음과 같습니다.
AVIF 형식 지원은 기본적으로 활성화
모질라는 Firefox 92에서 AVIF 지원을 활성화할 계획이었지만 출시를 연기했고 AVIF 지원은 Firefox 93에서 기본적으로 활성화되어 있습니다. 탁월한 압축을 제공하는 개방형 형식이며 특허 제한이 없으며 Firefox 구현은 전체 및 제한된 범위 색상에 대한 색상 공간 지원과 미러링 및 회전을 위한 이미지 변환과 함께 정지 이미지를 지원하지만, 애니메이션 이미지는 지원하지 않습니다.

모질라 파이어폭스(Firefox 93.0) 보안 업데이트
모질라 파이어폭스(Firefox 93.0) 보안 업데이트

이미지 변환과 함께 정지 이미지를 지원하지만, 애니메이션 이미지는 지원하지 않습니다.
메모리가 매우 부족할 때 Windows에서 탭을 언로드
Firefox에는 Windows에 새로운 탭 언로드 기능이 포함되어 있으며 사용 가능한 시스템 메모리가 매우 부족하였으면 탭을 언로드하는 자동화된 기능
탭은 마지막 액세스 시간, 메모리 사용량 및 기타 속성을 기반으로 언로드
Mozilla는 해당 기능이 Firefox 사용자가 경험하는 메모리 관련 충돌 횟수를 줄일 수 있기를 바랍니다.
안전하지 않은 다운로드는 기본적으로 차단
파이어폭스에서는 이제는 기본적으로 안전하지 않은 다운로드를 차단합니다(보안 웹페이지의 비보 안 내려받기).
만약 다시 안전하지 않은 다운로드를 하고 싶은 경우에는 다음과 같은 방법을 사용하면 됩니다.
기본 설정 dom.block_download_insecure는 False로 설정하여 안전하지 않은 다운로드를 다시 허용하도록 토클 할 수 있습니다.

dom.block_download_insecure
dom.block_download_insecure

Firefox 주소 표시 줄에 about:config를 로드
주의해서 사용하세요.
고급 구성 설정을 변경하면 Firefox의 성능 또는 보안에 영향을 줄 수 있습니다.
이 설정에 접근하려고 할 때 경고
위험을 감수하고 진행 부분을 클릭합니다.
dom.block_download_insecure를 검색
기본 설정을 FALSE로 설정
그리고 이번에 업데이트 된 보안 업데이트 내용은 다음과 같습니다.
CVE-2021-38496: Use-after-free in MessageTask
Description:During operations on MessageTasks, a task may have been removed while it was still scheduled, resulting in memory corruption and a potentially exploitable crash.
CVE-2021-38497: Validation message could have been overlaid on another origin
Description:Through use of reportValidity() and window.open(), a plain-text validation message could have been overlaid on another origin, leading to possible user confusion and spoofing attacks.
References
CVE-2021-38498: Use-after-free of nsLanguageAtomService object
Description:During process shutdown, a document could have caused a use-after-free of a languages service object, leading to memory corruption and a potentially exploitable crash.
CVE-2021-32810: Data race in crossbeam-deque
Description:In the crossbeam crate, one or more tasks in the worker queue could have been be popped twice instead of other tasks that are forgotten and never popped. If tasks are allocated on the heap, this could have caused a double free and a memory leak.
CVE-2021-38500: Memory safety bugs fixed in Firefox 93, Firefox ESR 78.15, and Firefox ESR 91.2
Description:Mozilla developers and community members Andreas Pehrson and Christian Holler reported memory safety bugs present in Firefox 92 and Firefox ESR 91.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
References
CVE-2021-38501: Memory safety bugs fixed in Firefox 93 and Firefox ESR 91.2
Description:Mozilla developers and community members Kevin Brosnan, Mihai Alexandru Michis, and Christian Holler reported memory safety bugs present in Firefox 92 and Firefox ESR 91.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2021-38499: Memory safety bugs fixed in Firefox 93
Description:Mozilla developers and community members Julien Cristau, Christian Holler reported memory safety bugs present in Firefox 92. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스를 사용을 하시는 분들은 반드시 보안 업데이트를 적용을 해서 안전하게 인터넷을 즐기길 바랍니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band