꿈을꾸는 파랑새

모질라 재단에서 제공을 하는 브라우저인 파이어폭스(Firefox)에 대한 보안 업데이트 및 Manifest V3 지원 업데이트가 되었습니다.
모든 Firefox 개발 채널과 Firefox ESR, Extended Support Release는 동시에 업데이트
Firefox 베타 및 개발자 채널은 버전 110으로 Firefox Nightly는 버전 111로 이동
Firefox ESR 102.7이 최신 버전 안드로이드 파이어폭스 109용 Firefox 도 업데이트 가 진행이 됩니다.
새 버전은 심각도가 높거나 낮은 10개의 보안 문제를 수정합니다.
Firefox 109.0은 Manifest V3 확장을 지원하는 Firefox의 첫 번째 안정 릴리스이며 Firefox는 계속해서 Manifest V2 확장을 지원합니다. 업데이트는 이러한 확장이 Firefox 도구 모음에 고정되지 않았으면 모든 확장 및 해당 사이트 권한을 나열하는 새로운 확장 버튼을 도입을 진행했습니다.
확장 프로그램 옆에 있는 톱니바퀴 아이콘을 선택하면 Firefox 도구 모음에 확장 프로그램을 눈에 띄게 배치할 수 있는 고정 옵션이 표시되며 고정된 아이콘을 마우스 오른쪽 버튼으로 클릭하면 고정 해제 옵션이 표시됩니다. 고정 해제된 확장 프로그램은 자동으로 확장 프로그램 메뉴로 이동됩니다.

Mozilla는 Manifest V3를 확장 프로그램의 독점 옵션으로 만드는 Google의 리드를 따르지 않을 것이라고 Firefox 사용자를 안심 Google은 콘텐츠 차단기, 개인 정보 보호 확장 및 기타 확장 유형에 심각한 영향을 미쳤을 것이기 때문에 초기 초안에 대해 심하게 비판을 받았습니다.

Google은 Manifest V3를 변경했으며 회사에서 몇 가지 중요한 문제를 해결했지만, 비평가들이 만족할 만큼 모든 문제를 해결하지는 못했습니다.
파이어폭스는 Manifest V2 및 V3 확장을 지원하므로 브라우저 사용자는 두 가지 장점을 모두 누릴 수 있습니다.

파이어폭스 109.0
파이어폭스 109.0

기타 변경 사항 및 수정 사항
Windows의 보안을 개선하기 위해 이제 미디어 재생 유틸리티 프로세스에서 Code Guard 익스플로잇 방지가 활성화
Firefox는 "다른 브라우저와 일치하고 더 나은 웹 호환성을 제공하기 위해 자동으로 타사 컨텍스트의 저장소를 분할
최신 Colorways는 더는 Firefox에서 사용할 수 없음 활성 및 저장된 Colorway 테마는 about:addons-> Themes를 통해 계속 접근할 수 있습니다. 테마는 Firefox 106 에서 임시 옵션으로 도입
최근에 도입된 Firefox 보기 기능에는 Firefox 보기 기록 보기에서 최근에 닫은 웹 사이트를 제거하는 새로운 옵션이 포함되어 있음
탭 픽업 및 최근 닫힘에 대한 Firefox 보기 빈 상태 메시지가 업데이트
Firefox의 스페인 어 및 아르헨티나 빌드에는 이제 파이어폭스 맞춤법 검사기용 사전이 내장되어 있음
Firefox의 기본 HTML 날짜 선택기는 이제 키보드로만 사용할 수 있으므로 화면 판독기 사용자와 키보드 사용을 선호하는 사용자의 접근성이 향상
바로 가기 CTRL 또는 CMD + 트랙 페이지 또는 마우스 휠은 이제 확대/축소 대신 Mac OS에서 페이지를 스크롤 합
개발자
매니페스트 V3가 지원
Manifest V3를 사용하는 확장은 이제 서명되어 Mozilla의 확장 스토어에 출시될 수 있음
매니페스트 V3에 대한 기본 콘텐츠 보안 정책은 기본적으로 HTTPS로 안전하지 않은 요청을 업그레이드하도록 업데이트 HTTP가 필요한 확장 프로그램은 정책을 재정의해야 합니다.
속성 secretKeyLength가 webRequest.SecurityInfo에 추가
웹 요청의 보안 속성에 있는 비밀 키의 길이를 비트 단위로 반환
2개의 WebDriver 버그를 수정하고 기능을 개선
Scrollend API가 지원
Content-visibility CSS 속성은 auto 값을 지원
엔터프라이즈 변경 사항
Mozilla는 엔터프라이즈용 Firefox 109 변경 사항을 나열하는 지원 페이지에 세 가지 수정 사항과 한가지 정책 변경 사항을 나열합니다.
HTTPS 전용 기본 설정을 잠그더라도 기본 설정의 컨트롤이 비활성화되지 않았습니다.
정책을 통해 기능이 비활성화되면 비공개 브라우징 바로 가기가 더는 생성되지 않습니다. ESR에는 적용되지 않음
설치 중에 바로 가기 생성을 방지하기 위해 새로운 PrivatBrowsingShortcut 옵션이 설치에 추가
ESR에는 적용되지 않음
정책 DisplayBookmarksToolbar 에는 새 탭 페이지에 도구 모음을 표시하는 새로운 옵션이 있음
보안 업데이트 내용
CVE-2023-23597: Logic bug in process allocation allowed to read arbitrary files
Description
A compromised web child process could disable web security opening restrictions, leading to a new child process being spawned within the file:// context. Given a reliable exploit primitive, this new process could be exploited again leading to arbitrary file read.
CVE-2023-23598: Arbitrary file read from GTK drag and drop on Linux
Description
Due to the Firefox GTK wrapper code's use of text/plain for drag data and GTK treating all text/plain MIMEs containing file URLs as being dragged a website could arbitrarily read a file via a call to DataTransfer.setData.
CVE-2023-23599: Malicious command could be hidden in devtools output on Windows
Description
When copying a network request from the developer tools panel as a curl command the output was not being properly sanitized and could allow arbitrary commands to be hidden within.
CVE-2023-23600: Notification permissions persisted between Normal and Private Browsing on Android
Description
Per origin notification permissions were being stored in a way that didn't take into account what browsing context the permission was granted in. This lead to the possibility of notifications to be displayed during different browsing sessions.
This bug only affects Firefox for Android. Other operating systems are unaffected.
CVE-2023-23601: URL being dragged from cross-origin iframe into same tab triggers navigation
Description
Navigations were being allowed when dragging a URL from a cross-origin iframe into the same tab which could lead to website spoofing attacks
CVE-2023-23602: Content Security Policy wasn't being correctly applied to WebSockets in WebWorkers
Description
A mishandled security check when creating a WebSocket in a WebWorker caused the Content Security Policy connect-src header to be ignored. This could lead to connections to restricted origins from inside WebWorkers.
CVE-2023-23603: Calls to <code>console.log</code> allowed bypasing Content Security Policy via format directive
Description
Regular expressions used to filter out forbidden properties and values from style directives in calls to console.log weren't accounting for external URLs. Data could then be potentially exfiltrated from the browser.
CVE-2023-23604: Creation of duplicate <code>SystemPrincipal</code> from less secure contexts
Description
A duplicate SystemPrincipal object could be created when parsing a non-system html document via DOMParser::ParseFromSafeString. This could have lead to bypassing web security checks.
CVE-2023-23605: Memory safety bugs fixed in Firefox 109 and Firefox ESR 102.7
Description
Mozilla developers and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 108 and Firefox ESR 102.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-23606: Memory safety bugs fixed in Firefox 109
Description
Mozilla developers and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 108. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
입니다. 파이어폭스를 사용하시는 분들은 보안 업데이트 해서 사용을 하시는 것이 안전하게 인터넷을 즐기는 방법의 하나입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band