모질라 파이어폭스 99.0 보안 업데이트

지난 2022년4월5일 모질라 에서 제공하는 브라우저인 파이어폭스에 대한 보안 업데이트가 진행이 되었습니다. 이번 업데이트 에서는 보안 수정, Linux 장치의 샌드박스 강화,독일 및 프랑스의 신용 카드 데이터 자동 완성 및 캡처 지원을 제공합니다. Firefox 베타 및 개발자 버전은 버전 100.0으로 업그레이드되었으며 Firefox Nightly는 101로 업데이트 됩니다.
파이어폭스 99.0 기타 변경 사항
신용 카드 자동 완성 및 캡처는 새 릴리스의 독일 및 프랑스에서 지원
키보드 단축키 n은 리더 모드에서 내레이션 기능을 토글
PDF 뷰어에서 발음 구별 부호가 있거나 없는 검색 지원
보안 업데이트 내용은 다음과 같습니다.
CVE-2022-1097: Use-after-free in NSSToken objects
Description
NSSToken objects were referenced via direct points, and could have been accessed in an unsafe way on different threads, leading to a use-after-free and potentially exploitable crash.
CVE-2022-28281: Out of bounds write due to unexpected WebAuthN Extensions
Description
If a compromised content process sent an unexpected number of WebAuthN Extensions in a Register command to the parent process, an out of bounds write would have occurred leading to memory corruption and a potentially exploitable crash.

파이어폭스 99.0

CVE-2022-28282: Use-after-free in DocumentL10n::TranslateDocument
Description
By using a link with rel="localization" a use-after-free could have been triggered by destroying an object during JavaScript execution and then referencing the object through a freed pointer, leading to a potentially exploitable crash.
CVE-2022-28283: Missing security checks for fetching sourceMapURL
Description
The sourceMapURL feature in devtools was missing security checks that would have allowed a webpage to attempt to include local files or other files that should have been inaccessible.
CVE-2022-28284: Script could be executed via svg's use element
Description
SVG's <use> element could have been used to load unexpected content that could have executed script in certain circumstances. While the specification seems to allow this, other browsers do not, and web developers relied on this property for script security so gecko's implementation was aligned with theirs.
CVE-2022-28285: Incorrect AliasSet used in JIT Codegen
Description
When generating the assembly code for MLoadTypedArrayElementHole, an incorrect AliasSet was used. In conjunction with another vulnerability this could have been used for an out of bounds memory read.
CVE-2022-28286: iframe contents could be rendered outside the border
Description
Due to a layout change, iframe contents could have been rendered outside of its border. This could have led to user confusion or spoofing attacks.
CVE-2022-28287: Text Selection could crash Firefox
Description
In unusual circumstances, selecting text could cause text selection caching to behave incorrectly, leading to a crash.
CVE-2022-24713: Denial of Service via complex regular expressions
Description
The rust regex crate did not properly prevent crafted regular expressions from taking an arbitrary amount of time during parsing. If an attacker was able to supply input to this crate, they could have caused a denial of service in the browser.
CVE-2022-28289: Memory safety bugs fixed in Firefox 99 and Firefox ESR 91.8
Description
Mozilla developers and community members Nika Layzell, Andrew McCreight, Gabriele Svelto, and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 98 and Firefox ESR 91.7. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2022-28288: Memory safety bugs fixed in Firefox 99
Description
Mozilla developers and community members Randell Jesup, Sebastian Hengst, and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 98. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
일단 파이어폭스를 사용을 하시는 분들은 보안 업데이트를 통해서 안전하게 사용을 하기길 바라겠습니다.