모질라 파이어폭스 95.0 보안 업데이트

모질라 재단에서 제공을 하는 브라우저인 파이어폭스에 대한 2021.12.7일 파이어폭스 95.0으로 업데이트가 진행이 되었습니다.
몇 가지 새로운 기능과 개선 사항이 포함되어 있지만, 버그 수정 및 보안 패치도 포함됩니다.
그리고 Firefox Beta, Firefox Dev 및 Firefox Nightly, Firefox ESR, 안드로이드용 Firefox도 업데이트도 진행이 됩니다.
Firefox 95.0의 새로운 기능 및 개선 사항
모든 플랫폼을 위한 RLBox 샌드박싱 기술
RLBox는 Mozilla가 Firefox 95에 통합한 새로운 샌드박싱 기능이며 브라우저를 보다 안전하게 만들려고 하위 구성 요소를 분리하도록 설계되었으며 모질라 재단에서는 University of California San Diego 및 University of Texas의 연구원들과 협력하여 해당 기술을 개발했습니다.
RLBox는 초기 버전의 Firefox Stable에서 Graphite, Hunspell, Ogg, Expat 및 Woff2의 다섯 가지 모듈을 분리하며 모질라는 해당 기술을 통해 파이어폭스가 모듈을 신뢰할 수 없는 코드로 취급할 수 있으며 구현이 정확하다면 브라우저의 0-day(제로데이) 취약점으로부터 보호할 수 있다고 설명을 합니다.
Firefox Stable에서 사이트 격리
원래 Firefox 94 용으로 예정되었던 사이트 격리는 Firefox Stable의 모든 사용자가 사용할 수 있으며 다음은 Firefox 94 작성한 정보입니다.

Firefox 95

Mozilla는 Firefox 70에서 Firefox의 사이트 격리 기능을 테스트하기 시작했으며 2020년 9월에 Firefox Nightly에서 출시 내부적으로 Project Fission이라고 하는 사이트 격리는 웹페이지와 타사 iframe을 격리하여 개인 정보 및 보안을 크게 향상시키는 것을 목표로 하고 있으며
사이트 격리는 (웹) 콘텐츠를 분리하고 자체 운영 체제 프로세스에서 각 사이트를 로드하여 현재 보호 메커니즘을 확장하는 새로운 보안 아키텍처를 기반으로 합니다.
해당 새로운 보안 아키텍처를 통해 파이어폭스는 다른 사이트에서 생성된 코드를 완전히 분리할 수 있으며 차례로 사용자가 방문하는 다른 사이트의 민감한 정보에 액세스하려는 악성 사이트를 방어할 수가 있습니다.
기타 변경 사항 
PIP(Picture-in-Picture) 버튼을 비디오(동영상)의 반대쪽으로 이동할 수 있음
이벤트 처리 중에 Mac OS X 및 Windows Server에서 Firefox의 CPU 사용량이 감소
Mac OS X에서 Firefox의 전력 사용량은 특히 전체 화면 모드가 활성화된 경우 감소(예: Netflix (넷플릭스) 또는 Amazon Prime(아마존 프라임)에서 비디오 스트림을 볼 때 포함)

PIP(Picture-in-Picture)버튼 위치 변경

개발자 변경 사항
전역 속성 inputmode는 이제 Android뿐만 아니라 모든 플랫폼에서 지원
특정 작업에 가장 적합한 가상 키보드에 대한 힌트를 제공
Crypto.randomUUID() 함수가 지원
암호학적으로 강력한 36자 고정 길이 UUID를 반환
CSS 커서 속성은 안드로이드용 Firefox에서 지원
업데이트 된 제품 목록
MFSA 2021-54 Security Vulnerabilities fixed in Thunderbird 91.4.0
MFSA 2021-53 Security Vulnerabilities fixed in Firefox ESR 91.4.0
MFSA 2021-52 Security Vulnerabilities fixed in Firefox 95
파이어폭스 95 에서 보안 업데이트 내용은 다음과 같습니다.
CVE-2021-43536: URL leakage when navigating while executing asynchronous function
Description
Under certain circumstances, asynchronous functions could have caused a navigation to fail but expose the target URL.
CVE-2021-43537: Heap buffer overflow when using structured clone
Description
An incorrect type conversion of sizes from 64bit to 32bit integers allowed an attacker to corrupt memory leading to a potentially exploitable crash.
CVE-2021-43538: Missing fullscreen and pointer lock notification when requesting both
Description
By misusing a race in our notification code, an attacker could have forcefully hidden the notification for pages that had received full screen and pointer lock access, which could have been used for spoofing attacks.
CVE-2021-43539: GC rooting failure when calling wasm instance methods
Description
Failure to correctly record the location of live pointers across wasm instance calls resulted in a GC occurring within the call not tracing those live pointers. This could have led to a use-after-free causing a potentially exploitable crash.
MOZ-2021-0010: Use-after-free in fullscreen objects on MacOS
Description
When transitioning in and out of fullscreen mode, a graphics object was not correctly protected; resulting in memory corruption and a potentially exploitable crash.
This bug only affects Firefox on MacOS. Other operating systems are unaffected.
CVE-2021-43540: WebExtensions could have installed persistent ServiceWorkers
Description
WebExtensions with the correct permissions were able to create and install ServiceWorkers for third-party websites that would not have been uninstalled with the extension.
VE-2021-43541: External protocol handler parameters were unescaped
Description
When invoking protocol handlers for external protocols, a supplied parameter URL containing spaces was not properly escaped.
CVE-2021-43542: XMLHttpRequest error codes could have leaked the existence of an external protocol handler
Description
Using XMLHttpRequest, an attacker could have identified installed applications by probing error messages for loading external protocols.
CVE-2021-43543: Bypass of CSP sandbox directive when embedding
Description
Documents loaded with the CSP sandbox directive could have escaped the sandbox's script restriction by embedding additional content.
CVE-2021-43544: Receiving a malicious URL as text through a SEND intent could have led to XSS
Description
When receiving a URL through a SEND intent, Firefox would have searched for the text, but subsequent usages of the address bar might have caused the URL to load unintentionally, which could lead to XSS and spoofing attacks.
This bug only affects Firefox for Android. Other operating systems are unaffected.
CVE-2021-43545: Denial of Service when using the Location API in a loop
Description
Using the Location API in a loop could have caused severe application hangs and crashes.
CVE-2021-43546: Cursor spoofing could overlay user interface when native cursor is zoomed
Description
It was possible to recreate previous cursor spoofing attacks against users with a zoomed native cursor.
MOZ-2021-0009: Memory safety bugs fixed in Firefox 95 and Firefox ESR 91.4
Description
Mozilla developers and community members Julian Hector, Randell Jesup, Gabriele Svelto, Tyson Smith, Christian Holler, and Masayuki Nakano reported memory safety bugs present in Firefox 94. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code
입니다.파이어폭스를 사용을 하고 계시는 분들은 보안 업데이트를 통해서 새로운 기능 및 보안 업데이트가 된 제품을 사용을 하시는 것이 안전하게 인터넷을 사용을 하는 방법 중 하나 일것입니다.