모질라 재단에서 제공을 하는 브라우저인 파이어폭스에 대한 보안 업데이트 및 성능 업데이트 가 진행이 되었습니다. 이번 파이어폭스 116, 파이어폭스 115.1 ESR 이며 파이어폭스에 대한 전반적인 업데이트가 진행이 되었습니다.
하이라이트에는 Picture-in-Picture 모드의 볼륨 슬라이더,향상된 Ctrl+Shift+T 키보드 단축키 기능 및 향상된 HTTP/2 업로드 기능이 포함
새 버전은 윈도우 8.1,윈도우 8,윈도우 7에서 사용할 수 없으며 macOS 10.14,macOS 10.13 및 macOS10.12에서도 사용할 수 없음
2024년 9월까지 지속적인 지원을 위해 Firefox ESR로 자동 마이그레이션
파이어폭스 116.0의 새로운 기능 및 개선 사항
키보드 단축키 Ctrl+Shift-+T는 Firefox(파이어폭스)에서 기본적으로 마지막으로 닫은 탭을 다시 열고 다시 열 탭이 없는 경우 이전 세션을 다시 엽니다. 파이어폭스 116부터 키보드 단축키는 이제 브라우저 창 다시 열기도 지원
마지막으로 닫은 탭 또는 브라우저 창 중 가장 최근에 닫은 창을 다시 열고 다시 열 탭이나 창이 더는 없는 경우 이전 브라우징 세션을 다시 엽니다.
Picture-in-Picture 모드의 볼륨 슬라이더
파이어폭스의 Picture-in-Picture 모드는 이제 볼륨을 더 쉽게 변경할 수 있도록 볼륨 슬라이더를 지원 새 컨트롤이 Picture-in-Picture 창에 연결
기타 변경 및 수정
Firefox의 HTTP/2 업로드 성능은 특히 더 높은 대역폭 지연 제품이 있는 네트워크에서 크게 향상
키보드 사용자는 북마크(Ctrl+B) 및 기록(Ctrl+H)에 대한 공식 키보드 단축키를 사용하여 사이드바 패널을 전환할 수 있음
영어 로케일을 사용하는 사용자는 업데이트 알림 프롬프트에 릴리스 정보로 연결되는 자세히 알아보기 링크가 포함
Firefox 사용자는 운영 체제에서 Firefox로 모든 파일을 복사하여 붙여 넣을 수 있음
기존 텍스트 주석을 편집할 수 있음
보안 업데이트 내용
CVE-2023-4045: Offscreen Canvas could have bypassed cross-origin restrictions
Description
Offscreen Canvas did not properly track cross-origin tainting, which could have been used to access image data from another site in violation of same-origin policy.
CVE-2023-4046: Incorrect value used during WASM compilation
Description
In some circumstances, a stale value could have been used for a global variable in WASM JIT analysis. This resulted in incorrect compilation and a potentially exploitable crash in the content process.
CVE-2023-4047: Potential permissions request bypass via clickjacking
Description
A bug in popup notifications delay calculation could have made it possible for an attacker to trick a user into granting permissions.
CVE-2023-4048: Crash in DOMParser due to out-of-memory conditions
Description
An out-of-bounds read could have led to an exploitable crash when parsing HTML with DOMParser in low memory situations.
CVE-2023-4049: Fix potential race conditions when releasing platform objects
Description
Race conditions in reference counting code were found through code inspection. These could have resulted in potentially exploitable use-after-free vulnerabilities.
CVE-2023-4050: Stack buffer overflow in StorageManager
Description
In some cases, an untrusted input stream was copied to a stack buffer without checking its size. This resulted in a potentially exploitable crash which could have led to a sandbox escape.
CVE-2023-4051: Full screen notification obscured by file open dialog
Description
A website could have obscured the full screen notification by using the file open dialog. This could have led to user confusion and possible spoofing attacks.
CVE-2023-4052: File deletion and privilege escalation through Firefox uninstaller
Description
The Firefox updater created a directory writable by non-privileged users. When uninstalling Firefox, any files in that directory would be recursively deleted with the permissions of the uninstalling user account. This could be combined with creation of a junction (a form of symbolic link) to allow arbitrary file deletion controlled by the non-privileged user.
This bug only affects Firefox on Windows. Other operating systems are unaffected.
CVE-2023-4053: Full screen notification obscured by external program
Description
A website could have obscured the full screen notification by using a URL with a scheme handled by an external program, such as a mailto URL. This could have led to user confusion and possible spoofing attacks.
CVE-2023-4054: Lack of warning when opening appref-ms files
Description
When opening appref-ms files, Firefox did not warn the user that these files may contain malicious code.
This bug only affects Firefox on Windows. Other operating systems are unaffected.
CVE-2023-4055: Cookie jar overflow caused unexpected cookie jar state
Description
When the number of cookies per domain was exceeded in document.cookie, the actual cookie jar sent to the host was no longer consistent with expected cookie jar state. This could have caused requests to be sent with some cookies missing.
CVE-2023-4056: Memory safety bugs fixed in Firefox 116, Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1, and Thunderbird 102.14
Description
Memory safety bugs present in Firefox 115, Firefox ESR 115.0, Firefox ESR 102.13, Thunderbird 115.0, and Thunderbird 102.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-4057: Memory safety bugs fixed in Firefox 116, Firefox ESR 115.1, and Thunderbird 115.1
Description
Memory safety bugs present in Firefox 115, Firefox ESR 115.0, and Thunderbird 115.0. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-4058: Memory safety bugs fixed in Firefox 116
Memory safety bugs present in Firefox 115. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스 브라우저를 사용하시는 분들은 새로운 기능 업데이트 및 보안 업데이트를 위해서 반드시 보안 업데이트를 하고 사용을 하시면 되겠습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 일본 에포스 카드 (エポスカー) 피싱 사이트-epos-c.biuzoyb(.)cn(2023.08.06) (0) | 2023.08.07 |
|---|---|
| 코발트 스트라이크(Cobalt Strike) 의심스러운 PowerShell(파워셀) 다운로드 및 실행을 파일-ss.bat(2023.8.4) (0) | 2023.08.05 |
| 주문서로 위장한 악성코드-Delivery Note 2023-10326.doc(2023.07.31) (0) | 2023.08.04 |
| 북한 해킹단체 김수키(Kimsuky)에서 만든-위믹스팀-클라우드사용금지.doc(2023.7.28) (0) | 2023.08.03 |
| AI 이미지 생성 으로 위장한 안드로이드 악성코드-AI Imagine Creator(2023.7.26) (0) | 2023.08.02 |
| 캐논 잉크젯 프린터 폐기 시 Wi-Fi(와이파이)보안 위험 경고 (0) | 2023.08.01 |
| 김수키(Kimsuky) 만든 chm 방식 악성코드-via.chm(2023.7.28) (0) | 2023.08.01 |
| 우체국 사칭 피싱 사이트-y.epost-go-kr(.)shop(2023.7.26) (0) | 2023.07.31 |
