모질라 재단에서 제공을 하는 브라우저인 파이어폭스에서 새로운 보안 업데이트 및 기능 개선 업데이트를 적용한 파이어폭스 120(Firefox 120) 업데이트가 진행이 되었습니다.
Firefox 120.0 Stable과 Firefox ESR 115.5가 주요 새 릴리스
Firefox Beta 및 Dev는 버전 121 Firefox Nightly는 122로 각각 업데이트가 진행이 됩니다.
Firefox 120.0 주요 변경 사항
개인 정보 보호 개선
파이어폭스 120에서 개인 정보 보호와 관련된 몇 가지 작은 변경 사항을 도입
첫 번째는 설정에서 글로벌 개인 정보 보호 제어에 대한 지원을 소개
개인정보 보호 기능은 귀하가 방문하는 웹사이트에 귀하의 데이터가 판매되거나 공유되기를 원하지 않음을 알림 캘리포니아와 콜로라도를 포함하여 미국의 일부 주에서는 법적 구속력이 있습니다.
Mozilla는 이것이 추적을 원하지 않는다는 것을 사이트에 알려주는 표시기 이자 EU를 포함한 다른 관할권에서 개인 데이터의 판매 또는 공유를 제한하라는 일반적인 요청으로도 작동한다고 지적
개인 정보 보호 기능은 선택 사항
Firefox에서 about:preferences#privacy를 로드하고 웹사이트 개인정보 보호 설정까지 아래로 스크롤
거기에서 내 데이터를 판매하거나 공유하지 않도록 웹사이트에 알리기를 활성화하는 옵션을 찾을 수 있습니다.
사이트 추적 없이 링크 복사
링크를 복사하기 위해 링크를 마우스 오른쪽 버튼으로 클릭하는 Firefox 사용자는 브라우저의 상황에 맞는 메뉴에서 새로운 옵션을 찾음
사이트 추적 없이 링크 복사를 선택하면 데이터가 운영 체제의 클립보드에 복사되기 전에 URL에서 알려진 추적 매개변수가 제거됩니다. 이렇게 되면 ClearURLs 기능의 일부 기능을 사용하게 되게 됩니다. 그래도 보다 개인정보를 강화하고 싶으면 ClearURLs 부가기능을 설치해서 사용하는 것을 추천합니다.
독일에서는 쿠키 배너 차단 및 URL 추적 보호가 기본적으로 켜져 있음
모질라는 파이어폭스에서 두 가지 개인 정보 보호 개선 사항을 테스트하고 있음
테스트에서는 당시 독일 사용자에게만 기능이 제한
첫 번째는 쿠키 배너 차단 기능을 활성화하지만, 기본적으로 개인 창에서만 가능
쿠키 배너를 자동으로 거부하고 해제하도록 설계되었으므로 사용자는 더는 사이트별로 쿠키를 처리할 필요가 없습니다. 표준이 없어서 일부 쿠키 배너가 여전히 표시될 수 있음
두 번째 개인 정보 보호 기능 테스트는 개인 창에만 적용
개인 창에서는 URL 추적 보호가 기본적으로 켜져 있습니다. 다시 말하지만, 당시 독일 사용자에게만 해당이 기능은 웹에서 사용자를 추적하는 데 자주 사용되는 URL에서 매개변수를 제거
파이어폭스 사용자는 about:preferences#privacy를 로드하고 향상된 추적 보호를 사용자 정의로 설정하고 추적 콘텐츠를 사생활 보호 창 모드 에서 모든 창에서로 전환하여 사용 가능
기타 변경 사항 및 수정 사항
파이어폭스의 개인 창 및 ETP-Strict 개인 정보 보호 구성은 Canvas API에 지문 보호 기능을 추가하여 브라우저를 사용하는 동안 개인 정보 보호를 더욱 강화
파이어폭스는 운영 체제의 루트 저장소에서 인증서와 같은 TLS 신뢰 앵커를 가져옴
윈도우,macOS,안드로이드 에서는 기본적으로 활성화되어 있음
사용자는 환경 설정->개인 정보 보호 및 보안->인증서->Firefox가 설치한 타사 루트 인증서를 자동으로 신뢰하도록 허용에서 이 기능을 끌 수 있음
파이어폭스 사용자는 about:logins에서 키보드 단축키를 사용하여 항목을 편집하거나 삭제할 수 있음
Alt-Enter는 편집하고 Alt-Backspace는 항목을 삭제.
Ubuntu 사용자는 Firefox 및 Chromium이 Snap 패키지로 설치된 경우 Chromium에서 데이터를 가져올 수 있음
Picture-in-Picture 모드는 윈도우 및 리눅스에서 모서리 스냅을 지원
이를 활용하려면 Picture-in-Picture 창을 이동하는 동안 Ctrl 키를 누르십시오.
보안 문제는 10가지 문제를 해결
CVE-2023-6204: Out-of-bound memory access in WebGL2 blitFramebuffer
Description:On some systems—depending on the graphics settings and drivers—it was possible to force an out-of-bounds read and leak memory data into the images created on the canvas element.
CVE-2023-6205: Use-after-free in MessagePort::Entangled
Description:It was possible to cause the use of a MessagePort after it had already been freed, which could potentially have led to an exploitable crash.
CVE-2023-6206: Clickjacking permission prompts using the fullscreen transition
Description:The black fade animation when exiting fullscreen is roughly the length of the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear.
CVE-2023-6207: Use-after-free in ReadableByteStreamQueueEntry::Buffer
Description:Ownership mismanagement led to a use-after-free in ReadableByteStreams
CVE-2023-6208: Using Selection API would copy contents into X11 primary selection.
Description:When using X11, text selected by the page using the Selection API was erroneously copied into the primary selection, a temporary storage not unlike the clipboard.
This bug only affects Firefox on X11. Other systems are unaffected.
CVE-2023-6209: Incorrect parsing of relative URLs starting with "///"
Description:Relative URLs starting with three slashes were incorrectly parsed, and a path-traversal "/.(.)/" part in the path could be used to override the specified host. This could contribute to security problems in web sites.
CVE-2023-6210: Mixed-content resources not blocked in a javascript: pop-up
Description:When an https: web page created a pop-up from a "javascript:" URL, that pop-up was incorrectly allowed to load blockable content such as iframes from insecure http: URLs
CVE-2023-6211: Clickjacking to load insecure pages in HTTPS-only mode
Description:If an attacker needed a user to load an insecure http: page and knew that user had enabled HTTPS-only mode, the attacker could have tricked the user into clicking to grant an HTTPS-only exception if they could get the user to participate in a clicking game.
CVE-2023-6212: Memory safety bugs fixed in Firefox 120, Firefox ESR 115.5, and Thunderbird 115.5
Description:Memory safety bugs present in Firefox 119, Firefox ESR 115.4, and Thunderbird 115.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-6213: Memory safety bugs fixed in Firefox 120
Description:Memory safety bugs present in Firefox 119. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스 사용을 하거나 Tor Browser(토르 브라우저) 같은 경우에는 같은 취약점을 가지고 있기 때문에 Tor Browser(토르 브라우저) 사용자 분들도 반드시 보안 업데이트를 진행을 하시는 것은 안전하게 브라우저를 통해서 인터넷을 사용하는 방법입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
구글 크롬 개인 정보 보호 샌드박스 와 IP 보호 (0) | 2023.11.30 |
---|---|
DHL 사칭 피싱 메일-noreply@dhl(.)com(2023.11.9) (0) | 2023.11.29 |
김수키(Kimsuky) 등기필정부 및 등기완료 통지서로 위장한 악성코드-[HF].chm(2023.11.14) (0) | 2023.11.28 |
안전한 인터넷 사용을 위한 최고의 추천 VPN 종류 (0) | 2023.11.27 |
북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드-2023년 11월 청구내역.html(2023.11.07) (0) | 2023.11.20 |
마이크로소프트 윈도우 10 및 윈도우 11 정품 인증 문제 조사 중 (0) | 2023.11.17 |
윈도우,macOS,리눅스 맞춤형 개인정보 보호 스크립트-Privacy sexy (0) | 2023.11.17 |
윈도우 10 KB5032189,윈도우 11 KB5032190 보안 업데이트 (0) | 2023.11.16 |