모질라 재단에서 제공을 하는 브라우저인 파이어폭스(Firefox)에 대한 Firefox 126(파이어폭스 126)보 안 업데이트가 진행이 되었습니다. 해당 주목할 만한 점은 사이트 추적 기능이 없는 브라우저 사본 개선, M3 Mac의 AV2 하드웨어 디코드 가속 지원 및 새로운 검색 원격 측정입니다.
Mozilla는 모든 개발 에디션과 Firefox ESR을 동시에 업데이트를 진행을 합니다.
파이어폭스 115.11 ESR
Firefox 127 베타 및 개발자
파이어폭스 128 나이틀리
안드로이드용 파이어폭스 126
파이어폭스 126.0 변경 사항
사이트 추적 없이 복사(링크)
사이트 추적 없이 복사 및 사이트 추적 없이 링크 복사를 사용하면 사용자가 추적 매개변수 없이 URL을 복사할 수 있습니다. 해당 기능은 한동안 사용 가능했으며 업데이트는 중첩된 URL에 대한 지원을 도입하고 지원을 확장하여 이제 파이어폭스에서 해당 기능을 사용하여 링크를 복사할 때 300개 이상의 추가 추적 매개변수가 제거됩니다.
새로운 검색 원격 측정
Mozilla Firefox는 검색 기능 개발을 광범위하게 알리려고 광범위한 카테고리 검색의 집계 수를 생성 '카테고리는 스포츠, 비즈니스, 여행 등 20가지 고급 콘텐츠 유형을 기반으로 합니다.
모질라 는 데이터가 개별 사용자와 연결되어 있지 않으며 IP 주소를 제거하기 위해 OHTTP를 사용하여 수집된다는 점을 지적
또한, 프로파일링이 수행되지 않으며 데이터가 제3자와 공유되지 않음
팁: 해당 기능을 사용하고 싶지 않은 경우
Firefox 사용자는 about:config에서
browser.search.serpEventTelemetryCategorization.enabled를 False로 설정
기타 변경 사항 및 수정 사항
Firefox 번역은 이제 카탈루냐어를 지원
M3 Mac에서 AV1 하드웨어 디코드 가속이 지원
파이어폭스 126 보안 업데이트
CVE-2024-4764: Use-after-free when audio input connected with multiple consumers
Description:Multiple WebRTC threads could have claimed a newly connected audio input leading to use-after-free.
CVE-2024-4367: Arbitrary JavaScript execution in PDF.js
Description:A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context.
CVE-2024-4765: Web application manifests could have been overwritten via hash collision
Description:Web application manifests were stored by using an insecure MD5 hash which allowed for a hash collision to overwrite another application's manifest. This could have been exploited to run arbitrary code in another application's context.
This issue only affects Firefox for Android. Other versions of Firefox are unaffected.
CVE-2024-4766: Fullscreen notification could have been obscured on Firefox for Android
Description:Different techniques existed to obscure the fullscreen notification in Firefox for Android. These could have lead to potential user confusion and spoofing attacks.
This bug only affects Firefox for Android. Other versions of Firefox are unaffected.
CVE-2024-4767: IndexedDB files retained in private browsing mode
Description:If the browser.privatebrowsing.autostart preference is enabled, IndexedDB files were not properly deleted when the window was closed. This preference is disabled by default in Firefox.
CVE-2024-4768: Potential permissions request bypass via clickjacking
Description:A bug in popup notifications' interaction with WebAuthn made it easier for an attacker to trick a user into granting permissions.
CVE-2024-4769: Cross-origin responses could be distinguished between script and non-script content-types
Description:When importing resources using Web Workers, error messages would distinguish the difference between application/javascript responses and non-script responses. This could have been abused to learn information cross-origin.
CVE-2024-4770: Use-after-free could occur when printing to PDF
Description:When saving a page to PDF, certain font styles could have led to a potential use-after-free crash.
CVE-2024-4771: Failed allocation could lead to use-after-free
Description:A memory allocation check was missing which would lead to a use-after-free if the allocation failed. This could have triggered a crash or potentially be leveraged to achieve code execution.
CVE-2024-4772: Use of insecure rand() function to generate nonce
Description:An HTTP digest authentication nonce value was generated using rand() which could lead to predictable values.
CVE-2024-4773: URL bar could be cleared after network error
Description:When a network error occurred during page load, the prior content could have remained in view with a blank URL bar. This could have been used to obfuscate a spoofed web site.
CVE-2024-4774: Undefined behavior in ShmemCharMapHashEntry()
Description:The ShmemCharMapHashEntry() code was susceptible to potentially undefined behavior by bypassing the move semantics for one of its data members.
CVE-2024-4775: Invalid memory access in the built-in profiler
Description:An iterator stop condition was missing when handling WASM code in the built-in profiler, potentially leading to invalid memory access and undefined behavior. Note: This issue only affects the application when the profiler is running.
CVE-2024-4776: Window may remain disabled after file dialog is shown in full-screen
Description:A file dialog shown while in full-screen mode could have resulted in the window remaining disabled.
CVE-2024-4777: Memory safety bugs fixed in Firefox 126, Firefox ESR 115.11, and Thunderbird 115.11
Description:Memory safety bugs present in Firefox 125, Firefox ESR 115.10, and Thunderbird 115.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2024-4778: Memory safety bugs fixed in Firefox 126
Description:Memory safety bugs present in Firefox 125. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스 사용자 분들은 새로운 기능을 사용할 겸 보안 업데이트를 하는 것이 안전하게 컴퓨터 및 인터넷을 사용하는 방법일 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
xxx 토큰 유통량 및 락업 스케줄 로 위장한 Konni(코니) 에서 만든 악성코드-xxx 토큰 유통량 및 락업 스케줄(2024.5.13) (0) | 2024.05.22 |
CVE-2024-3400 취약점을 악용을 하는 악성코드-update.py(2024.5.15) (0) | 2024.05.21 |
VMware Workstation Pro 17 및 VMwareFusion Pro 13은 개인용 무료 (0) | 2024.05.20 |
윈도우 10,윈도우 11 KB5037768,KB5037771 보안 업데이트 (0) | 2024.05.17 |
넷플릭스 피싱 사이트-renewserviceaccount(2024.5.8) (0) | 2024.05.14 |
정품 인증되지 않은 윈도우 11 Microsoft Edge 설정 액세스 차단 (0) | 2024.05.13 |
VPN TunnelVision 공격 익명성 을 파괴하고 암호화를 우회 (0) | 2024.05.09 |
탈세제보로 위장한 Konni(코니) 에서 만든 악성코드-첨부1_소명자료 목록(탈세제보)(2024.4.5) (0) | 2024.05.06 |