꿈을꾸는 파랑새

반응형

모질라 파이어폭스에서 제공하는 파이어폭스에 대한 보안 업데이트 가 진행이 되었습니다. 새 파이어폭스 버전에는 보안 수정을 비롯한 몇 가지 개선 사항 및 수정 사항이 포함되어 있습니다. 다른 파이어폭스 버전은 각각 Firefox ESR은 Firefox 91.5 ESR Firefox Beta 및 Dev 에디션은 버전 97로, Firefox Nightly는 버전 98로 업데이트가 진행이 됩니다.
이번 파이어폭스는 같은 도메인에서 제공되지만 다른 체계(예: HTTPS 및 HTTP)를 사용하는 쿠키가 처리되는 방식을 변경하며 사이트는 쿠키 SameSite 지시문과 관련하여 다른 것으로 간주 됩니다.
변경된 내용은 다음과 같습니다.
Firefox 96.0의 새로운 기능 및 개선 사항
쿠키 처리 변경 사항
파이어폭스 96.0은 현재 기본적으로 Same-Site=lax 쿠키 정책을 시행
Same-Site 정책에 사용할 수 있는 세 가지 값 중 하나이며 쿠키가 타사 컨텍스트에서 전송되지 않도록 차단
Firefox는 Same-Site 지시문을 지정하지 않는 사이트에 대해 lax 값을 자동으로 사용
기술 설명은 다음과 같습니다.
쿠키는 일반적인 사이트 간 하위 요청(예: 이미지 또는 프레임을 타사 사이트로 로드)에는 전송되지 않지만, 사용자가 원본 사이트를 탐색할 때(즉, 링크를 따라갈 때) 전송
해당 기술은 SameSite가 최신 브라우저 버전에서 명시적으로 지정되지 않은 경우의 기본 쿠키 값입니다.

파이어폭스 96.0
파이어폭스 96.0

기타 변경 사항
Mozilla에 따르면 메인 스레드 로드가 상당히 감소
노이즈 억제 및 자동 이득 제어 개선 및 에코 제거 약간의 개선
개발자 변경 사항
CSS 색상 값으로 사용하기 위한 hwb() 함수가 구현
Firefox는 이제 color-scheme 속성에 대한 지원을 제공
counter-reset 속성은 이제 요소에 내림차순으로 번호를 매기기 위한 역 CSS 카운터를 만들기 위한 reversed() 함수를 지원
navigator.canShare()는 이제 Android에서 지원
Web Locks API는 기본적으로 활성화되어 있음
WebP 이미지 형식에 대한 이미지 인코더 지원이 추가
엔터프라이즈 변경 사항
Mozilla는 매핑된 네트워크 드라이브로의 파일 다운로드에 영향을 미치는 버그를 수정 또한 Mozilla Firefox는 설치된 Windows 버전에서 기능이 지원되지 않는 경우 기본 설정에서 Windows SSO 옵션을 숨김
엔지니어는 세 가지 정책 문제를 수정하고 새로운 기본 Same-Site=lax 쿠키 정책을 수정하는 두 가지 정책을 추가
AutoLaunchProtocolsFromOrigins 오류가 제대로 표시되지 않았음
검색엔진 | 속성이 변경되면 업데이트 검색 엔진을 추가
SearchEngines의 SuggestURLTemplate | 추가가 제대로 작동하지 않았음
전역 기본 처리를 레거시 동작으로 설정하는 새로운 LegacySameSiteCookieBehaviorEnabled 정책
관리자가 레거시 동작을 사용하여 쿠키를 처리해야 하는 도메인 목록을 지정할 수 있는 새로운 LegacySameSiteCookieBehaviorEnabledForDomainList 정책
버그 수정
Gmail에서 링크를 Command-클릭하면 이러한 링크가 새 탭에서 열림
SSRC가 삭제되는 비디오 문제를 수정
WebRTC 다운그레이드 화면 공유 해상도를 수정
특정 사이트"에서 비디오 품질 저하 문제를 수정
분리된 비디오는 손상, 밝기 변경, 자막 누락 및 높은 CPU 사용량과 관련된 일부 문제를 방지하기 위해 전체 화면의 Mac OS에서 비활성화
보안 업데이트 내용은 다음과 같습니다.
CVE-2022-22746: Calling into reportValidity could have lead to fullscreen window spoof
Description:A race condition could have allowed bypassing the fullscreen notification which could have lead to a fullscreen window spoof being unnoticed.
This bug only affects Firefox for Windows. Other operating systems are unaffected.
CVE-2022-22743: Browser window spoof using fullscreen mode
Description:When navigating from inside an iframe while requesting fullscreen access, an attacker-controlled tab could have made the browser unable to leave fullscreen mode.
CVE-2022-22742: Out-of-bounds memory access when inserting text in edit mode
Description:When inserting text while in edit mode, some characters might have lead to out-of-bounds memory access causing a potentially exploitable crash.
CVE-2022-22741: Browser window spoof using fullscreen mode
Description:When resizing a popup while requesting fullscreen access, the popup would have become unable to leave fullscreen mode.
CVE-2022-22740: Use-after-free of ChannelEventQueue::mOwner
Description:Certain network request objects were freed too early when releasing a network request handle. This could have lead to a use-after-free causing a potentially exploitable crash.
CVE-2022-22738: Heap-buffer-overflow in blendGaussianBlur
Description:Applying a CSS filter effect could have accessed out of bounds memory. This could have lead to a heap-buffer-overflow causing a potentially exploitable crash.
CVE-2022-22737: Race condition when playing audio files
Description:Constructing audio sinks could have lead to a race condition when playing audio files and closing windows. This could have lead to a use-after-free causing a potentially exploitable crash.
CVE-2021-4140: Iframe sandbox bypass with XSLT
Description:It was possible to construct specific XSLT markup that would be able to bypass an iframe sandbox.
CVE-2022-22750: IPC passing of resource handles could have lead to sandbox bypass
Description:By generally accepting and passing resource handles across processes, a compromised content process might have confused higher privileged processes to interact with handles that the unprivileged process should not have access to.
This bug only affects Firefox for Windows and MacOS. Other operating systems are unaffected.
CVE-2022-22749: Lack of URL restrictions when scanning QR codes
Description:When scanning QR codes, Firefox for Android would have allowed navigation to some URLs that do not point to web content.
This bug only affects Firefox for Android. Other operating systems are unaffected.
CVE-2022-22748: Spoofed origin on external protocol launch dialog
Description:Malicious websites could have confused Firefox into showing the wrong origin when asking to launch a program and handling an external URL protocol.
CVE-2022-22745: Leaking cross-origin URLs through securitypolicyviolation event
Description:Securitypolicyviolation events could have leaked cross-origin information for frame-ancestors violations
CVE-2022-22744: The 'Copy as curl' feature in DevTools did not fully escape website-controlled data, potentially leading to command injection
Description:The constructed curl command from the "Copy as curl" feature in DevTools was not properly escaped for PowerShell. This could have lead to command injection if pasted into a Powershell prompt.
This bug only affects Firefox for Windows. Other operating systems are unaffected.
CVE-2022-22747: Crash when handling empty pkcs7 sequence
Description:After accepting an untrusted certificate, handling an empty pkcs7 sequence as part of the certificate data could have lead to a crash. This crash is believed to be unexploitable.
CVE-2022-22736: Potential local privilege escalation when loading modules from the install directory.
Description:If Firefox was installed to a world-writable directory, a local privilege escalation could occur when Firefox searched the current directory for system libraries. However the install directory is not world-writable by default.
This bug only affects Firefox for Windows in a non-default installation. Other operating systems are unaffected.
CVE-2022-22739: Missing throttling on external protocol launch dialog
Description:Malicious websites could have tricked users into accepting launching a program to handle an external URL protocol.
CVE-2022-22751: Memory safety bugs fixed in Firefox 96 and Firefox ESR 91.5
Description:Mozilla developers Calixte Denizet, Kershaw Chang, Christian Holler, Jason Kratzer, Gabriele Svelto, Tyson Smith, Simon Giesecke, and Steve Fink reported memory safety bugs present in Firefox 95 and Firefox ESR 91.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2022-22752: Memory safety bugs fixed in Firefox 96
Description:Mozilla developers Christian Holler and Jason Kratzer reported memory safety bugs present in Firefox 95. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
일단 파이어폭스를 사용하시는 분들은 해당 보안 업데이트를 해서 사용을 하시는 것이 안전하게 인터넷을 사용하는 방법일 것입니다.

반응형
그리드형

댓글

비밀글모드

  1. 방금 업뎃 적용 완료 했네요
    2022.01.14 21:23 신고
    • 최근 버전은 96.0.2 버전 일것입니다.
      2022.01.22 19:23 신고