Firefox 121(파이어폭스 121)보안 업데이트 및 기능 업데이트

모질라 재단에서 배포를 하는 브라우저인 파이어폭스 브라우저에 대한 Firefox 121(파이어폭스 121)보 안 업데이트 및 기능 업데이트 가 진행이 되었습니다.
해당 업데이트 2023년 Firefox 웹 브라우저의 마지막 주요 릴리스 이니다.
Windows의 AV1 하드웨어 디코딩 지원, macOS 시스템의 음성 명령 지원 또는 Linux의 기본값인 Wayland로의 전환과 같은 주요 변경 사항이 도입되었습니다.
Firefox 121.0(파이어폭스) 주요 변경 사항
Wayland Compositor는 Linux의 기본값
Firefox는 Linux에서 기본적으로 XWayland 대신 Wayland Compositor를 사용합니다. Mozilla는 이를 통해 터치패드 및 터치스크린 제스처, 스와이프하여 탐색, 모니터별 DPI 설정, 향상된 그래픽 성능 등을 지원.
한 가지 제한 사항은 Picture-in-Picture 창에 추가 클릭이나 조정이 필요하다는 것
PiP 창은 기본적으로 전경에 머물지 않습니다. 에서 광범위하게 논의
Android용 Firefox에서 전체 확장 기능 지원
지난주에 출시되었지만, 여전히 안드로이드용 파이어폭스의 주요 개발
Firefox Stable(파이어폭스)은 더는 인기 있는 확장 기능 선택에만 국한되지 않음
개발자는 파이어폭스 모바일 버전에 대한 확장 기능을 만들 수 있으며 모든 안정 사용자는 이를 설치할 수 있음
해당 파이어폭스의 주요 발전이며 장기적으로 브라우저에 긍정적인 영향을 미칠 수 있음 그 핵심 이유는 모바일 확장 기능을 지원하는 유일한 주요 웹 브라우저이기 때문(제가 이래서 파이어폭스 사용을 하는 이유입니다.)

윈도우 에서 AV1 지원

윈도우 에서 AV1 지원

Firefox Windows AV1 하드웨어 디코딩
윈도우 의 Firefox 사용자는 Microsoft의 AV1 확장을 설치하여 하드웨어 디코딩을 활성화할 수 있습니다. about:support를 방문하여 미디어 섹션까지 아래로 스크롤한 후 Av1 옆에 있는 확장 프로그램 설치 링크를 활성화하면 끝입니다.
그러면 AV1 비디오 확장의 Microsoft Store 페이지가 시작
그런 다음 스토어에서 확장 기능을 설치하여 파이어폭스의 하드웨어 디코딩 지원을 추가할 수 있습니다.
그리고 나서 파이어폭스를 다시 시작하고 설치 후 미디어 섹션을 다시 확인하여 하드웨어 디코딩이 이제 지원되는지 확인
하드웨어 디코딩은 프로세서의 부하를 줄여 성능이 향상될 수 있음
기타 변경 사항 및 수정 사항

파이어폭스 121.0

Firefox 항상 링크에 밑줄

파이어폭스 항상 링크에 밑줄(U)

macOS가 설치된 시스템에서 Firefox 121은 음성 제어 명령을 도입
명령을 사용하면 macOS 사용자가 음성을 사용하여 컴퓨터와 상호 작용할 수 있습니다.
예를 들어 아래로 스크롤 또는 완료 클릭이라고 말하여 컴퓨터가 명령을 실행하도록 할 수 있음
Apple의 지원 페이지에서는 제공
파이어폭스에는 브라우저를 사용하는 동안 만나는 모든 링크에 밑줄을 긋는 새로운 항상 링크 밑줄 옵션이 있습니다. 설정->일반->탐색->항상 링크에 항상 링크에 밑줄에서 이 기능을 활성화할 수 있음
PDF 뷰어의 새로운 부동 버튼은 PDF 문서에 요소를 삭제할 수 있는 옵션을 추가

개발자 변경

Firefox는 새 버전에서 iframe의 지연 로딩을 지원
text-wrap 속성이 두 개의 새로운 값으로 업데이트
균형은 짧은 콘텐츠 블록에 사용되며 편집 중의 편집 가능한 콘텐츠가 리플로우되지 않도록 안정적
:has() 선택기가 이제 지원
text-indent CSS 속성은 이제 각 줄 및 행 속성값을 지원
Promise.withResolvers() 메서드가 지원
Data.parse()는 새로운 날짜 형식을 지원하도록 확장
WebTransportSendStream 인터페이스의 sendOrder 속성이 지원
WebAssembly는 이제 호출 명령에 대한 새로운 return_call 및 return_call_indirect 대안을 통해 마무리 호출 최적화를 지원
보안 업데이트 내용
CVE-2023-6856: Heap-buffer-overflow affecting WebGL DrawElementsInstanced method with Mesa VM driver
Description:The WebGL DrawElementsInstanced method was susceptible to a heap buffer overflow when used on systems with the Mesa VM driver. This issue could allow an attacker to perform remote code execution and sandbox escape.
CVE-2023-6135: NSS susceptible to "Minerva" attack
Description:Multiple NSS NIST curves were susceptible to a side-channel attack known as "Minerva". This attack could potentially allow an attacker to recover the private key.
CVE-2023-6865: Potential exposure of uninitialized data in EncryptingOutputStream
Description:EncryptingOutputStream was susceptible to exposing uninitialized data. This issue could only be abused in order to write data to a local disk which may have implications for private browsing mode.
CVE-2023-6857: Symlinks may resolve to smaller than expected buffers
Description:When resolving a symlink, a race may occur where the buffer passed to readlink may actually be smaller than necessary.
This bug only affects Firefox on Unix-based operating systems (Android, Linux, MacOS). Windows is unaffected.
CVE-2023-6858: Heap buffer overflow in nsTextFragment
Description:Firefox was susceptible to a heap buffer overflow in nsTextFragment due to insufficient OOM handling.
CVE-2023-6859: Use-after-free in PR_GetIdentitiesLayer
Description:A use-after-free condition affected TLS socket creation when under memory pressure.
CVE-2023-6866: TypedArrays lack sufficient exception handling
Description:TypedArrays can be fallible and lacked proper exception handling. This could lead to abuse in other APIs which expect TypedArrays to always succeed.
CVE-2023-6860: Potential sandbox escape due to VideoBridge lack of texture validation
Description:The VideoBridge allowed any content process to use textures produced by remote decoders. This could be abused to escape the sandbox.
CVE-2023-6867: Clickjacking permission prompts using the popup transition
Description:The timing of a button click causing a popup to disappear was approximately the same length as the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear.
CVE-2023-6861: Heap buffer overflow affected nsWindow::PickerOpen(void) in headless mode
Description:The nsWindow::PickerOpen(void) method was susceptible to a heap buffer overflow when running in headless mode.
CVE-2023-6868: WebPush requests on Firefox for Android did not require VAPID key
Description:In some instances, the user-agent would allow push requests which lacked a valid VAPID even though the push manager subscription defined one. This could allow empty messages to be sent from unauthorized parties.
This bug only affects Firefox on Android.
CVE-2023-6869: Content can paint outside of sandboxed iframe
Description:A <dialog> element could have been manipulated to paint content outside of a sandboxed iframe. This could allow untrusted content to display under the guise of trusted content.
CVE-2023-6870: Android Toast notifications may obscure fullscreen event notifications
Description:Applications which spawn a Toast notification in a background thread may have obscured fullscreen notifications displayed by Firefox.
This issue only affects Android versions of Firefox and Firefox Focus.
CVE-2023-6871: Lack of protocol handler warning in some instances
Description:Under certain conditions, Firefox did not display a warning when a user attempted to navigate to a new protocol handler.
CVE-2023-6872: Browsing history leaked to syslogs via GNOME
Description:Browser tab titles were being leaked by GNOME to system logs. This could potentially expose the browsing habits of users running in a private tab.
CVE-2023-6863: Undefined behavior in ShutdownObserver()
Description:The ShutdownObserver() was susceptible to potentially undefined behavior due to its reliance on a dynamic type that lacked a virtual destructor.
CVE-2023-6864: Memory safety bugs fixed in Firefox 121, Firefox ESR 115.6, and Thunderbird 115.6
Description:Memory safety bugs present in Firefox 120, Firefox ESR 115.5, and Thunderbird 115.5. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2023-6873: Memory safety bugs fixed in Firefox 121
Description:Memory safety bugs present in Firefox 120. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
요약
Microsoft의 AV1 확장을 사용하여 Windows에서 AV1 하드웨어 인코딩을 지원
Wayland는 Linux의 기본값으로 모든 종류의 개선 사항을 추가
기본 macOS 음성 명령이 지원
새 릴리스에서는 브라우저의 보안 문제를 해결
즉 파이어폭스와 파이어폭스를 베이스로 하는 토르 브라우저 같은 경우 반드시 보안 업데이트 후 사용을 하는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.