모질라 재단에서 제공을 하는 브라우저인 파이어폭스에 대한 새로운 보안 업데이트 및 개인정보 보호 강화를 한 Firefox 119(파이어폭스 119)가 업데이트가 진행이 되었습니다.
해당 업데이트 파이어폭스 안드로이드 버전, Firefox 115.4 ESR 이 제공이 됩니다.
Firefox 119의 새로운 핵심 기능에는 모든 사용자를 위한 암호화된 클라이언트 Hello 지원, Chrome에서 확장 가져오기, 향상된 추적 보호 및 새로운 PDF 편집 기능이 포함
암호화된 클라이언트 Hello 지원
Firefox 119(파이어폭스 119) 에서는 암호화된 클라이언트 Hello를 이제 공식적으로 지원
암호화된 클라이언트 Hello는 연결 시도 중 도메인 이름에 대한 정보를 암호화하여 연결 개인 정보 보호를 향상
이전에는 ISP를 포함하여 네트워크 트래픽을 수신하는 누구나 정보를 모니터링할 수 있었습니다.
일부 ISP는 인터넷상의 사용자 활동에 대한 정보를 판매하고 다른 ISP는 DNS 기반 차단을 사용하여 특정 사이트에 대한 액세스를 차단할 수 있으며 암호화된 클라이언트 Hello를 사용하면 DNS 기반 차단이 더는 유효하지 않습니다.
조건 서버가 이를 잘 지원해야 작동한다는 점에 유의
개인 정보 보호 개선
Firefox 119(파이어폭스 119) 에서 몇 가지 개인 정보 보호 기능 향상을 구현
두 가지 핵심 추가 사항은 Blob URL 분할과 웹 사이트에서 액세스할 수 있는 글꼴의 제한된 가시성
첫 번째 방법은 제3자가 추적 목적으로 활용할 수 있는 잠재적인 추적 벡터를 완화
글꼴 제한은 사이트를 시스템 글꼴 및 언어 팩 글꼴로 제한하여 글꼴 지문 채취에 대한 Firefox(파이어폭스)의 방어력을 향상
Firefox 보기에는 더 많은 콘텐츠가 표시
탭 표시줄의 가장 왼쪽 섹션에 있는 Firefox 보기 아이콘을 클릭하면 인터페이스가 표시
사용자는 이제 열려 있는 모든 브라우저 창에서 모든 콘텐츠를 볼 수 있습니다. 동기화된 탭도 표시되며 이제 검색 기록을 날짜나 사이트별로 정렬할 수 있음
기타 변경 사항 및 수정 사항
Storage Access API가 웹 사이트 손상을 완화하면서 보안을 향상시키기 위해 업데이트
Firefox(파이어폭스)의 PDF 뷰어에는 이미지와 대체 텍스트를 추가하는 옵션이 제공
Google Chrome(구글 크롬) 에서 일부 확장 기능을 가져올 수 있음
자동 세션 복원이 활성화되지 않았으면 최근에 닫은 탭은 세션 간에 유지
애플리케이션/옥텟-스트림 유형으로 제공되는 파일에는 더는 미디어 스니핑이 적용되지 않음
윈도우 사용자는 마우스 포인터가 더는 표시되지 않는 것을 확인할 수 있음
시스템에서 특정 마우스 속성 설정(입력하는 동안 포인터 숨기기)이 활성화된 경우 발생
Firefox를 Santali에서 사용할 수 있음
Mozilla는 Facebook의 스크롤 위치 점프 문제를 해결
보안 업데이트 내용
CVE-2023-5721:Queued up rendering could have allowed websites to clickjack
Description:It was possible for certain browser prompts and dialogs to be activated or dismissed unintentionally by the user due to an insufficient activation-delay.
CVE-2023-5722:Cross-Origin size and header leakage
Description:Using iterative requests an attacker was able to learn the size of an opaque response, as well as the contents of a server-supplied Vary header.
CVE-2023-5723:Invalid cookie characters could have led to unexpected errors
Description:An attacker with temporary script access to a site could have set a cookie containing invalid characters using document.cookie that could have led to unknown errors.
CVE-2023-5724:Large WebGL draw could have led to a crash
Description:Drivers are not always robust to extremely large draw calls and in some cases this scenario could have led to a crash.
CVE-2023-5725:WebExtensions could open arbitrary URLs
Description:A malicious installed WebExtension could open arbitrary URLs, which under the right circumstance could be leveraged to collect sensitive user data.
CVE-2023-5726:Full screen notification obscured by file open dialog on macOS
Description:A website could have obscured the full screen notification by using the file open dialog. This could have led to user confusion and possible spoofing attacks.
Note: This issue only affected macOS operating systems. Other operating systems are unaffected.
CVE-2023-5727:Download Protections were bypassed by .msix, .msixbundle, .appx, and .appxbundle files on Windows
Description:The executable file warning was not presented when downloading .msix, .msixbundle, .appx, and .appxbundle files, which can run commands on a user's computer.
Note: This issue only affected Windows operating systems. Other operating systems are unaffected.
CVE-2023-5728:Improper object tracking during GC in the JavaScript engine could have led to a crash.
Description:During garbage collection extra operations were performed on a object that should not be. This could have led to a potentially exploitable crash.
CVE-2023-5729: Fullscreen notification dialog could have been obscured by WebAuthn prompts
Description:A malicious web site can enter fullscreen mode while simultaneously triggering a WebAuthn prompt. This could have obscured the fullscreen notification and could have been leveraged in a spoofing attack.
CVE-2023-5730: Memory safety bugs fixed in Firefox 119, Firefox ESR 115.4, and Thunderbird 115.4
Description:Memory safety bugs present in Firefox 118, Firefox ESR 115.3, and Thunderbird 115.3. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-5731: Memory safety bugs fixed in Firefox 119
Description:Memory safety bugs present in Firefox 118. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스 사용자 분들은 보안 업데이트 해서 사용을 하는 것이 안전하게 브라우저를 사용하는 것이 안전하게 인터넷을 사용하는 방법입니다.
